Ce qu'ils ne vous disent pas sur le codage de vibe : • Moltbook a exposé 1,5 million de jetons d'authentification. Le propriétaire n'avait écrit aucune ligne de code. • L'application Tea a divulgué 72 000 identités gouvernementales. La base de données était simplement ouverte, aucun hack sophistiqué n'était nécessaire. • Un chercheur a pris le contrôle de l'ordinateur d'un journaliste à travers son propre jeu codé en vibe, sans un seul clic. Le code fonctionnait bien dans les trois cas, les tests ont réussi, les revues semblaient propres, et rien n'a soulevé de drapeau. C'est le problème dont personne ne parle. Les équipes expédient plus vite que jamais. L'IA écrit le code. L'intégration continue détecte les échecs de construction. Les tests détectent les régressions. L'observabilité détecte les pannes. Mais personne ne pose la question qui compte vraiment : Que peut faire un attaquant avec cela, en ce moment ? Parce que le goulot d'étranglement n'est plus l'écriture de code. C'est comprendre ce que ce code expose réellement une fois qu'il est en ligne. Les revues de PR manquent des cas limites d'authentification. Les tests unitaires ne sondent pas le contrôle d'accès défaillant. Les environnements de staging ne simulent pas le comportement d'adversaires. Et les défauts de logique métier semblent complètement corrects jusqu'à ce que quelqu'un décide de les briser intentionnellement. Strix est un outil open-source qui comble cette lacune. Il examine votre application en cours d'exécution comme le ferait un attaquant : - Explore l'application et cartographie chaque route et flux exposé - Probe les chemins d'abus dynamiquement, pas seulement au moment de la construction - Retourne des résultats avec des preuves de concepts et des corrections suggérées Strix a été évalué par rapport à 200 entreprises réelles et dépôts open-source, où il a trouvé plus de 600 vulnérabilités vérifiées, y compris des CVE attribués. ...