Les agents de codage IA sont utiles. C’est pour cela qu’il leur faut des règles de sécurité
GhostApproval, Friendly Fire et Ghostcommit montrent que les agents de codage sont devenus une automatisation privilégiée, pas un simple autocomplete.
Les agents de codage IA ne sont plus des gadgets. Ils lisent des dépôts, modifient des fichiers, exécutent des commandes, suivent des instructions de projet et participent aux pull requests. C'est utile. C'est aussi une automatisation privilégiée sur la machine du développeur.

Le signal de productivité existe. Un article arXiv sur le déploiement de Claude Code et GitHub Copilot CLI chez Microsoft affirme que les utilisateurs ont mergé environ 24% de pull requests de plus que prévu. Les auteurs rappellent qu'un PR mergé n'est qu'un proxy de production et que la dépense en tokens peut atteindre des millions de dollars par an.
En parallèle, juillet a apporté trois alertes: GhostApproval de Wiz, Friendly Fire de AI Now Institute et Ghostcommit de ASSET Research Group. La conclusion pratique n'est pas d'abandonner les agents. C'est de les gouverner comme des CI runners, des contractors et des extensions IDE privilégiées.
Ce qui a changé
L'autocomplete proposait une ligne. Un agent moderne peut lire AGENTS.md, parcourir le workspace, appeler des outils, modifier du code, lancer des tests, lire des documents ou des images et intervenir dans la revue. Un dépôt malveillant peut donc devenir un environnement d'instructions.
Si un outil peut lire des secrets, écrire des fichiers et exécuter des commandes, il faut supposer que quelqu'un cherchera à le guider.
GhostApproval: l'approbation ne suffit pas
Wiz a publié GhostApproval le 8 juillet. Le schéma: un dépôt malveillant utilise des liens symboliques pour faire écrire l'assistant hors du workspace, tandis que l'interface d'approbation montre un chemin local rassurant.
Wiz dit avoir observé le problème dans Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity et Windsurf. Certains fournisseurs ont corrigé vite, d'autres étaient encore en cours ou ont rejeté le rapport. Les pages NVD pour CVE-2026-12958 et CVE-2026-50549 étaient visibles pendant la recherche.
La leçon: "l'utilisateur a approuvé" ne suffit pas si l'utilisateur ne voit pas le chemin canonique et la vraie cible.
Friendly Fire: auditer du code hostile est aussi dangereux
AI Now Institute décrit Friendly Fire comme une preuve de concept de RCE contre Claude Code CLI et OpenAI Codex CLI lorsqu'ils sont utilisés pour examiner des bibliothèques tierces. L'attaque s'appuie sur des prompt injections disséminées dans le code source et cible les modes automatiques.
Ce n'est pas une preuve d'exploitation massive. C'est une disclosure de recherche. Mais le scénario est réaliste: beaucoup d'équipes veulent demander à un agent d'auditer une dépendance inconnue. Il faut le faire dans un environnement jetable, sans secrets, sans tokens de publication, sans réseau large et sans auto-approve.
Ghostcommit: l'injection passe par les images
BleepingComputer a couvert Ghostcommit le 11 juillet. ASSET cache des instructions dans un PNG référencé par AGENTS.md. Les reviewers texte et certains reviewers IA ne lisent pas l'image. Plus tard, l'agent peut lire l'instruction et exfiltrer des secrets sous forme de données apparemment anodines.
ASSET dit avoir étudié 6.480 pull requests de 300 dépôts actifs et trouvé que 73% atteignaient la branche principale sans revue humaine substantielle ni bot review. Le point pratique: images, docs et fichiers d'instructions peuvent influencer les agents.
BleepingComputer rapporte que Cursor avec Claude Sonnet a divulgué .env dans un essai, tandis que Claude Code a refusé dans leurs tests. Le modèle ne suffit donc pas. Le wrapper, les permissions, les defaults et les logs comptent.
Ce que les équipes doivent faire
N'exécutez pas un agent sur un dépôt non fiable depuis l'environnement quotidien du développeur. Utilisez conteneur, VM ou workspace jetable. Pas de vrais secrets. Pas de tokens de publication. Réseau bloqué ou journalisé. Pas d'auto-approve pour les tâches risquées.
Séparez les secrets. Vérifiez les symlinks et les chemins résolus. Passez en revue AGENTS.md, README, images, SVG, docs et metadata si l'agent peut les lire. Limitez les MCP servers, les CLIs cloud et l'accès au filesystem. Journalisez prompts, tool calls, diffs, commandes et choix de modèle.
Contrôlez aussi la dépense. Les agents consomment du compute. Il leur faut budgets, dashboards et règles de modèles.
Décision d'adoption
Utilisez les agents dans des dépôts fiables et des environnements contrôlés: migrations, tests, docs, refactors ciblés. Limitez-les sur les dépôts sensibles jusqu'à avoir sandboxing, logs et contrôles d'approbation. Pour du code non fiable, traitez la tâche comme une analyse malware.
La prochaine phase de l'AI Practice n'est pas plus de prompts. C'est une discipline opérationnelle autour d'agents capables d'agir.
Comments
Sign in to comment.
No comments yet.