Vibe-Coding

Selon la BBC (BBC World Service), une faille de sécurité significative et non corrigée dans la plateforme d’IA de « vibe‑coding » Orchids a permis au chercheur Etizaz Mohsin de démontrer la prise de contrôle du laptop d’un journaliste, sans action de la victime. Dans une démonstration, Mohsin a exploité une faiblesse de sécurité (non divulguée) pour accéder au projet Orchids du reporter, en visualisant et modifiant son code. Il a injecté une petite ligne de code au sein du projet, ce qui a conduit à la prise de contrôle du poste: création d’un fichier Notepad intitulé « Joe is hacked » et changement du fond d’écran vers une image d’un « AI hacker ». L’attaque s’est déroulée sans clic de la victime, une attaque zero‑click ⚠️. ...

Contexte: The Register publie une interview de Kate Middagh (Palo Alto Networks, Unit 42) décrivant l’usage croissant des LLM dans le développement de malware et introduisant le cadre « SHIELD » pour sécuriser le « vibe coding ». • Constats clés 🧠🤖: Des criminels utilisent « très probablement » des plateformes de vibe coding/LLM pour écrire du malware ou orchestrer des attaques, avec un humain toujours dans la boucle. Des erreurs/hallucinations des modèles mènent à des attaques ratées (ex. nom de fichier de rançon incorrect), et à de la « sécurité théâtrale » où du code d’évasion apparaît pour la forme sans effet réel. ...

L’article publié par Emerging Technology Security aborde les implications de sécurité du développement logiciel assisté par l’IA, en particulier le ‘vibe coding’ avec des modèles de langage (LLMs). Feross Aboukhadijeh, PDG de Socket, et Joel de la Garza, partenaire chez a16z, discutent des défis de sécurité posés par ces outils qui, bien qu’ils augmentent la productivité des développeurs, introduisent des risques tels que les dépendances tierces compromises et des pratiques de révision de code inadéquates. ...

Selon un rapport publié par un employé de Replit et examiné par Semafor, Lovable, une application populaire de vibe coding en Europe, est sous le feu des critiques pour ne pas avoir corrigé une faille de sécurité critique. Cette faille expose des informations sensibles des utilisateurs, telles que des noms, adresses e-mail, informations financières et clés API secrètes. L’employé de Replit a analysé 1 645 applications web créées par Lovable, et a découvert que 170 d’entre elles permettaient un accès non autorisé à ces données sensibles. Cette vulnérabilité a été rendue publique dans la National Vulnerabilities Database. ...