Failles GhostApproval : des assistants IA vulnérables à l’exécution de code

Des chercheurs ont mis en lumière une vulnérabilité critique, baptisée « GhostApproval Symlink Flaws », affectant six assistants de codage basés sur l’intelligence artificielle, qui pourrait permettre l’exécution de code malveillant sur les ordinateurs des développeurs.

Découverte par l’équipe de Wiz, cette faille exploite les liens symboliques (symlinks) au sein des projets de code. Lorsqu’un assistant IA demande l’autorisation d’éditer un fichier d’apparence inoffensive, un projet piégé peut rediriger cette écriture vers un fichier système sensible, à l’insu de l’utilisateur.

Ce mécanisme permet à un attaquant de prendre discrètement le contrôle de la machine du développeur, en exécutant du code arbitraire. Parmi les outils d’IA affectés figurent Amazon Q Developer, Anthropic’s Claude Code, Augment, Cursor, Google Antigravity et Windsurf.

Cette découverte souligne la nécessité d’une vigilance constante concernant les permissions accordées aux outils d’IA, même ceux conçus pour faciliter le développement. Elle met en évidence les défis persistants en matière de sécurité logicielle face à l’intégration croissante de l’IA dans les flux de travail des développeurs.

Source : The Hacker News

Catégories : Brèves IA
← Article précédentL'IA confère un avantage distinct aux conseillers financiersArticle suivant →Apple : l'IA de l'app Maison exigera l'iCloud+ le plus cher

Restez informé de l'actualité IA

Recevez chaque semaine notre sélection des meilleures analyses sur l'intelligence artificielle.

Pas de spam. Désinscription en un clic.

Laisser un commentaire

FR EN ES