Un développeur, exaspéré par l’usage superficiel de l’intelligence artificielle dans le codage, a discrètement inséré une injection de prompt malveillante dans le code de la bibliothèque open-source jqwik. Cette modification non divulguée avait pour instruction spécifique de demander aux agents de codage IA de supprimer la sortie des applications.
L’incident, rapporté par Ars Technica AI, met en lumière une nouvelle forme de vulnérabilité : l’intégration de commandes destructrices directement dans les outils de développement. Le développeur visait apparemment les « codeurs d’ambiance » (vibe coders), qui s’appuient excessivement sur l’IA sans une compréhension approfondie du code généré.
Cette action souligne la fragilité des chaînes d’approvisionnement logicielles et le risque que des instructions cachées puissent compromettre l’intégrité des projets. Elle pose la question de la confiance dans les contributions open-source et de la nécessité d’une vigilance accrue face aux potentielles manipulations des systèmes d’IA.
Cette affaire soulève des questions importantes quant à la sécurité des chaînes d’approvisionnement logicielles à l’ère de l’IA générative.
Source : Ars Technica AI