Articles / Vibe coding avec l’IA : rapide, brillant… et troué

Vibe coding avec l’IA : rapide, brillant… et troué

ump — Un mot de passe pourri backfill 2025-12-23 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
283 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Les LLM codent en 10 secondes ce qui prenait 2h. Mais ils optimisent le "ça marche", pas le "c'est sûr". SSRF, injections, deps fantômes : la prod hérite du proto sans le savoir. Mode d'emploi réel ici : https://unmotdepassepourri.substack.com/p/vibe-coding-avec-lia-rapide-brillant

📅 26/05 à 18h34 dans 2j
✓ Publié 26/05 à 18h34
🧵 Thread posted
1493 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/7

1/ Les assistants IA produisent du code probable, pas du code sûr. Ils génèrent le pattern le plus fréquent dans leurs données d'entraînement : souvent un tuto, rarement un code audité.

2/7

2/ Trois angles morts structurels : → Pas de modèle de menace (exposition Internet ? données sensibles ?) → Pas de contraintes réglementaires (RGPD, NIS2) → Pas de contexte infra (proxy, egress filtering, quotas)

3/7

3/ Premier piège : SSRF. Le LLM pond requests.get(user_url) sans filtre. Résultat : accès IMDS, localhost, réseau interne si l'app consomme une URL utilisateur côté serveur.

4/7

4/ Le patch minimal : allowlist de domaines + vérif IP publique + disable redirects + timeout. Bonus infra : egress filtering, sandbox, logs d'accès. Sinon, un attaquant pivot vers vos services internes.

5/7

5/ Deuxième piège : injection shell. os.system(f"whois {domain}") → faille directe. Solution : subprocess.run avec liste d'args, jamais de f-string dans un shell. Règle générale : API/bindings paramétrés partout (SQL, CLI, LDAP, OS).

6/7

6/ Troisième piège : dépendances hallucinées. Le LLM invente des packages, typosquatte, ou ajoute des deps non maintenues. Contre-mesure : requirements.txt + hashes, pip-audit en CI, revue humaine des noms.

7/7

7/ Le vibe coding accélère. Mais confondre "ça compile" avec "c'est déployable" glisse des failles en prod. Vitesse + garde-fous = gains réels. Détails, patterns et code durci : https://unmotdepassepourri.substack.com/p/vibe-coding-avec-lia-rapide-brillant

📅 18/08 à 12h48 dans 86j
✓ Publié 18/08 à 12h48
💡 Standalone #1 posted
225 chars
Sans lien · Matin 7h30–9h · 70% du mix

Les LLM codent comme des stagiaires brillants : ils pondent du fonctionnel en 10 secondes, ignorent ton exposition Internet et laissent un requests.get(user_url) ouvert sur ton IMDS. La prod hérite du proto. L'incident suit.

📅 27/07 à 07h39 dans 64j
✓ Publié 27/07 à 07h39
💬 Standalone #2 posted
225 chars
Sans lien · Matin 7h30–9h · 70% du mix

Le code "le plus probable" n'est pas le code le plus sûr. Les LLM optimisent la vraisemblance statistique, pas ta surface d'attaque. Si tu valides en mode "ça marche", tu shippes les failles des tutos StackOverflow en prod.

📅 20/08 à 08h20 dans 88j
✓ Publié 20/08 à 08h20
🔥 Provoc posted
217 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

On a remplacé les devs juniors par des LLM qui codent comme des devs juniors. Même biais : le fonctionnel immédiat prime, la sécu attendra. Sauf qu'avec l'IA, on ship 10× plus vite… et on hérite de 10× plus de SSRF.

📅 24/08 à 18h47 dans 92j
✓ Publié 24/08 à 18h47