Des agents de codage basés sur l’intelligence artificielle peuvent être dupés par des dépôts GitHub en apparence inoffensifs, les incitant à exécuter des logiciels malveillants indétectables.
Cette découverte révèle qu’un outil de codage agentique, lorsqu’il est chargé d’interagir avec un dépôt GitHub jugé bénin, peut en réalité activer une charge utile malveillante. Le caractère insidieux de cette attaque réside dans le fait que cette charge reste invisible, échappant à la détection des agents de sécurité automatisés et des réviseurs humains.
La menace émerge de la capacité de ces agents IA à interpréter et exécuter du code, y compris des instructions subtilement dissimulées. Cette méthode contourne les mécanismes de défense classiques, rendant l’identification du code malveillant particulièrement ardue pour les équipes de sécurité et les développeurs.
Ce scénario met en lumière une vulnérabilité critique dans l’intégration croissante de l’IA dans les chaînes de développement logiciel. Il pose la question de la résilience des infrastructures actuelles face à des menaces exploitant la confiance accordée aux outils autonomes.
Source : BleepingComputer