Sécurité et vibe coding
Le code généré par IA a des failles typiques. Une courte checklist aide à les repérer tôt.
Quel est le risque ?
Le « vibe coding » – laisser une IA écrire l'essentiel du code sans vérifier chaque ligne toi-même – est rapide, mais amène des failles de sécurité typiques qu'il vaut mieux connaître.
Validation d'entrée manquante
Le code généré par IA ne vérifie pas forcément assez les saisies utilisateur. Sans instruction explicite, la validation des champs de formulaire, des paramètres d'API ou des uploads de fichiers manque souvent – une porte d'entrée classique pour les attaques.
Des secrets dans le code
Les modèles d'IA écrivent parfois des clés d'exemple ou des identifiants de test directement dans le code, au lieu de les mettre dans des variables d'environnement. Si ce n'est pas vérifié, des clés d'API ou des mots de passe finissent dans le repository.
Des dépendances hallucinées (slopsquatting)
Les modèles d'IA recommandent parfois des noms de paquets qui n'existent pas du tout (hallucination). Des attaquants enregistrent justement ces noms de paquets inventés avec du code malveillant – ce risque s'appelle le « slopsquatting ». Si tu installes sans vérifier ce que l'IA propose, tu peux attraper un logiciel malveillant de cette façon.
Checklist
- Relecture obligatoire : fais relire chaque changement généré par IA par un humain avant qu'il parte en production
- Vérification des dépendances : vérifie les noms de paquets proposés avant de les installer (le paquet existe-t-il vraiment, est-il fiable ?)
- Scanner de secrets : recherche automatiquement les clés et mots de passe accidentellement commités
- Least privilege (privilège minimal) : le code (et l'agent qui l'écrit) ne reçoit que les droits dont il a vraiment besoin
EXEMPLE
Exemple conceptuel : avant chaque merge, un scanner de secrets et une vérification des dépendances tournent automatiquement, en comparant les nouveaux noms de paquets au vrai registre.
QUIZ RAPIDE
Qu'est-ce que le « slopsquatting » ?
SOURCES
- Cloud Security Alliance : Slopsquatting Research Note ↗ labs.cloudsecurityalliance.org