Vulnérabilité zero-auth sur l'API d'un contractant DoD : données militaires exposées pendant 150 jours
🗓️ Contexte Article publié le 3 mai 2026 par Alex Schapiro sur le blog de Strix (strix.ai). Strix est une entreprise développant un agent IA offensif open-source d’audit de sécurité. L’article constitue un post-mortem de divulgation responsable concernant Schemata, une plateforme d’entraînement militaire virtuel en 3D, contractant actif du Département de la Défense américain (DoD) et financée par Andreessen Horowitz. 🔍 Vulnérabilité découverte Strix a pointé son agent autonome contre l’application Schemata dans le cadre d’un benchmark. L’agent a identifié une absence totale de contrôle d’autorisation sur l’API multi-tenant de la plateforme. Avec un simple compte non privilégié, il était possible d’accéder à l’ensemble des données de tous les tenants sans restriction. ...