Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
Votre agent IA vient de divulguer votre clé Stripe. Voici comment l'arrêter avant la validation.
DEV -
27/06
Une analyse approfondie des raisons pour lesquelles les scanners de sécurité traditionnels échouent lors de l'utilisation d'agents LLM et de la manière dont un mécanisme de « preuve » pré-construit peut empêcher les vulnérabilités courantes telles que l'IDOR, l'injection et l'exposition de secrets.
J'ai vu un développeur perdre 12 000 $ en frais frauduleux Stripe en moins de quatre heures le mois dernier. Ils n’étaient même pas ciblés par un groupe de hackers sophistiqués ; ils ont été ciblés par des robots automatisés qui récupéraient les commits publics de GitHub. L'« attaquant » était un agent IA chargé d'ajouter une fonctionnalité rapide à un référentiel et, dans sa hâte d'être utile, il a codé en dur une clé API dans un fichier de configuration.
Au moment où le développeur a réalisé ce qui s'était passé et a même essayé de supprimer la ligne du dernier commit, le mal était fait. La clé était dans l’histoire de Git pour toujours. Les robots l'avaient déjà trouvé. C'est la nouvelle réalité du génie logiciel : nous donnons la main aux LLM via MCP (Model Context Protocol), leur permettant de tendre la main, de toucher nos API et de modifier notre infrastructure. Mais si nous ne leur donnons pas les moyens de raisonner sur la sécurité, nous ne nous contentons pas d’automatiser le développement ; nous automatisons la catastrophe.
L’industrie est actuellement obsédée par le mauvais niveau de défense. Tout le monde parle de meilleurs scanners : SonarQube, Snyk, GitHub Advanced Security. Ces outils sont parfaits pour détecter des modèles une fois le code écrit et diffusé. Mais ils sont réactifs. Ils s'exécutent dan... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité