promptgarten 🌱
🌍 ZH
Guide●●●5 min · +50 XP

Audits de sécurité avec l'IA : vérifier le code à la recherche de failles

Les agents IA trouvent automatiquement beaucoup de failles de sécurité – mais les découvertes critiques ont toujours besoin d'un humain pour les confirmer.

Ce que fait un audit de sécurité avec l'IA

Un agent IA lit ton code ou un diff et cherche des motifs connus de failles de sécurité : injection SQL, désérialisation non sécurisée, mots de passe codés en dur, vérifications de droits manquantes. C'est beaucoup plus rapide que de lire chaque ligne à la main.

Découvertes typiques

On trouve fréquemment : des failles d'injection (SQL, commande, XSS), des vérifications d'autorisation manquantes, des secrets exposés comme des clés API, un chiffrement faible et des appels de fonction non sécurisés comme eval(). Ces motifs reviennent sans cesse dans du code réel, souvent nés de la pression du temps ou d'un manque de connaissance.

Où sont les limites

Un agent peut reconnaître des motifs, mais il ne comprend pas automatiquement ton modèle de menace : qui est l'attaquant, quelle est la cible la plus précieuse, quels compromis sont acceptables ? Une découverte peut être anodine dans un contexte et critique dans un autre – seul quelqu'un qui connaît le système peut le dire.

Un humain vérifie ce qui est critique

Les revues automatiques sont une étape préliminaire, pas un remplacement de la vérification humaine. Pour les découvertes touchant l'authentification, les données de paiement ou les droits d'accès en particulier : fais d'abord confirmer par un humain avant de considérer la découverte comme réglée ou de l'ignorer. Et : un outil de sécurité qui repose lui-même sur une IA peut être trompé par du texte malveillant caché dans le code – les revues de code inconnu et non fiable demandent une prudence supplémentaire.

EXEMPLE

Exemple de prompt : « Utilise un subagent et vérifie le diff de la route de login à la recherche de failles de sécurité : injection, autorisation manquante, secrets exposés. Classe chaque découverte par catégorie OWASP et indique ce qu'un humain doit confirmer avant le merge. »

🛠️ EXERCICE — À TOI DE JOUER

Fais vérifier par un agent un petit extrait de code délibérément non sécurisé (par ex. une fonction de login avec une requête SQL construite par concaténation de chaînes) à la recherche de failles de sécurité.

  1. Écris ou prends une fonction avec une faille connue, par ex. `query = "SELECT * FROM users WHERE name='" + input + "'"`.
  2. Fais vérifier la fonction par l'agent et classer les découvertes par catégorie OWASP (injection, auth, etc.).
  3. Demande précisément : « Lesquelles de ces découvertes devrais-je faire confirmer par un humain avant un vrai merge, et pourquoi ? »

AUTO-VÉRIFICATION

  • L'agent a-t-il correctement identifié et nommé l'injection SQL ?
  • A-t-il évalué la gravité/criticité de façon réaliste, ou s'est-il contenté de dire « dangereux » de façon générale ?
  • As-tu pu expliquer pourquoi une découverte comme celle-ci a besoin d'une confirmation humaine avant que tu la considères comme réglée ?

QUIZ RAPIDE

Pourquoi une revue de sécurité par IA ne remplace-t-elle pas une vérification humaine pour les découvertes critiques ?

SOURCES

SUJETS LIÉS

Sécuriser les agents en pratique ●●○Sécurité et vibe coding ●●○Prompt injection (injection de prompt) ●●●Code review avec l'IA : un regard neuf plutôt qu'une auto-évaluation ●●○