Aikido
Commencer gratuitement
Sans carte bancaire

Bienvenue sur notre blog.

En vedette
Plus de 140 paquets npm populaires de Mastra ont été touchés par une attaque visant la chaîne d'approvisionnement
Plus de 140 paquets npm populaires de Mastra ont été touchés par une attaque visant la chaîne d'approvisionnement
141 paquets npm de Mastra ont été compromis lors d'une attaque de la chaîne d'approvisionnement qui a consisté à injecter une dépendance malveillante afin de télécharger et d'exécuter discrètement une charge utile au moment de l'installation.
141 paquets npm de Mastra ont été compromis lors d'une attaque de la chaîne d'approvisionnement qui a consisté à injecter une dépendance malveillante afin de télécharger et d'exécuter discrètement une charge utile au moment de l'installation.
Vulnérabilités et menaces
Ilyas Makari
Plusieurs extensions pour les IDE de JetBrains ont été prises en flagrant délit de vol de clés d'IA
Plusieurs extensions pour les IDE de JetBrains ont été prises en flagrant délit de vol de clés d'IA
Une campagne coordonnée impliquant au moins 15 extensions pour les IDE de JetBrains, publiées sous sept comptes de fournisseurs différents, permet d'exfiltrer la clé API du fournisseur d'IA que vous collez dans ses paramètres.
Une campagne coordonnée impliquant au moins 15 extensions pour les IDE de JetBrains, publiées sous sept comptes de fournisseurs différents, permet d'exfiltrer la clé API du fournisseur d'IA que vous collez dans ses paramètres.
Vulnérabilités et menaces
Ilyas Makari
Full Fathom Five : Le contexte de la publication publique de classe Mythos d'Anthropic
Full Fathom Five : Ce que signifie la publication publique de classe Mythos d'Anthropic
Vous n'avez jamais eu besoin de Mythos pour trouver vos IDORs et vos failles de logique métier. Un aperçu de ce qu'Anthropic a livré avec Fable 5, et pourquoi la sécurité de l'information reste fondamentalement un problème humain.
Vous n'avez jamais eu besoin de Mythos pour trouver vos IDORs et vos failles de logique métier. Un aperçu de ce qu'Anthropic a livré avec Fable 5, et pourquoi la sécurité de l'information reste fondamentalement un problème humain.
Actualités
Mike Wilkes
npm v12 apporte l'une des plus grandes améliorations de sécurité depuis des années
npm v12 apporte l'une des plus grandes améliorations de sécurité depuis des années
npm v12 rend les scripts d'installation opt-in par défaut, fermant ainsi le chemin d'exécution au moment de l'installation, après une année de vers de la chaîne d'approvisionnement npm, de Nx à Red Hat.
npm v12 rend les scripts d'installation opt-in par défaut, fermant ainsi le chemin d'exécution au moment de l'installation, après une année de vers de la chaîne d'approvisionnement npm, de Nx à Red Hat.
Actualités
Dania Durnas
Aikido x Docker : moins de bruit, plus de signal dans vos conteneurs
Aikido prend en charge les images Docker Hardened avec VEX
Aikido prend désormais en charge les images Docker Hardened avec une intégration VEX native, aidant les équipes à réduire le bruit des CVE et à se concentrer sur les vulnérabilités des conteneurs qui nécessitent réellement une attention.
Scannez les images Docker renforcées dans Aikido avec un filtrage VEX automatique pour les CVE non exploitables.
Actualités produit et entreprise
Trusha Sharma
Le code est écrit partout, et l'appareil est la seule constante
Le code est écrit partout et l'appareil est la seule constante | Aikido Security
Les développeurs codent partout. Les agents d'IA, les bots Slack et les serveurs MCP ont fait de l'appareil du développeur le plus grand angle mort en matière de sécurité.
Les développeurs codent partout. Les agents d'IA, les bots Slack et les serveurs MCP ont fait de l'appareil du développeur le plus grand angle mort en matière de sécurité.
Actualités
Nicholas Thomson
Les SBOM en 2026 : tout le monde les génère, personne ne les utilise
Les SBOM en 2026 : tout le monde les génère, personne ne les utilise | Aikido Security
Le rapport 2026 de l'ENISA sur l'adoption des SBOM couvre 334 organisations et met en évidence un écart constant entre la génération des SBOM et leur utilisation réelle. Voici ce qui en ressort.
Le rapport 2026 de l'ENISA sur l'adoption des SBOM couvre 334 organisations et met en évidence un écart constant entre la génération des SBOM et leur utilisation réelle. Voici ce qui en ressort.
Actualités
Jens Gellynck
Le crate Rust onering compromis effectue une exfiltration de code
Le crate Rust onering compromis effectue une exfiltration de code
Le crate Rust onering v1.4.1 compromis sur crates.io a livré un fichier build.rs malveillant qui exfiltre le diff de votre dernier commit vers un endpoint Sentry hébergé à chaque build.
Le crate Rust onering v1.4.1 compromis sur crates.io a livré un fichier build.rs malveillant qui exfiltre le diff de votre dernier commit vers un endpoint Sentry hébergé à chaque build.
Vulnérabilités et menaces
Ilyas Makari
Vulnérabilité critique vieille de 10 ans dans phpBB affectant des dizaines de millions d'utilisateurs sur des milliers de forums
Vulnérabilité critique phpBB : Contournement d'authentification + RCE depuis 2014
Aikido Security a découvert une vulnérabilité critique de contournement d'authentification non authentifiée dans phpBB affectant des dizaines de millions d'utilisateurs. Une seule requête HTTP suffit pour prendre le contrôle de n'importe quel compte — une vulnérabilité présente dans la base de code depuis 2014.
Vulnérabilités et menaces
Jorian Woltjer
Attendez, binding.gyp peut faire quoi ? Exploration du système de build le plus étrange de npm
Attendez, binding.gyp peut faire quoi ? Exploration du système de build le plus étrange de npm
Plongée approfondie dans binding.gyp, le fichier de build npm souvent négligé qui peut exécuter du code malveillant au moment de l'installation via des expansions de shell, des évasions de sandbox et le détournement de compilateur.
Plongée approfondie dans binding.gyp, le fichier de build npm souvent négligé qui peut exécuter du code malveillant au moment de l'installation via des expansions de shell, des évasions de sandbox et le détournement de compilateur.
Vulnérabilités et menaces
Ilyas Makari
Qu'est-ce que l'AI SAST ?
Qu'est-ce que l'AI SAST ?
L'AI SAST émerge comme une nouvelle catégorie de SAST, mais sa signification est peu claire. Nous clarifions la différence entre le SAST natif IA et le SAST assisté par IA, ainsi que la position de l'AI SAST dans la pile entre le SAST traditionnel et le pentest IA.
L'AI SAST émerge comme une nouvelle catégorie de SAST, mais sa signification est peu claire. Nous clarifions la différence entre le SAST natif IA et le SAST assisté par IA, ainsi que la position de l'AI SAST dans la pile entre le SAST traditionnel et le pentest IA.
Outils et comparaisons DevSec
Dania Durnas
Les 5 meilleures alternatives à Tenable Nessus en 2026
Les 5 meilleures alternatives à Tenable Nessus en 2026 | Aikido Security
Tenable Nessus est un scanner puissant, mais des outils puissants que personne n'utilise ne rendent pas les logiciels plus sécurisés. Comparez cinq alternatives conçues pour la manière dont les équipes d'ingénierie travaillent réellement.
Tenable Nessus est un puissant scanner d'infrastructure, mais les outils puissants qui restent déconnectés des workflows des développeurs sont des outils que personne n'utilise. Ce guide compare cinq alternatives conçues autour de l'intégration aux workflows des développeurs, de l'étendue de l'AppSec, du coût et de l'expérience de remédiation.
Outils et comparaisons DevSec
Nicholas Thomson
Pourquoi l'EDR et les proxys ne vous sauveront pas des malwares de la chaîne d'approvisionnement
Pourquoi l'EDR et les proxys ne vous sauveront pas des malwares de la chaîne d'approvisionnement
L'EDR et les proxys n'ont pas été conçus pour les malwares de la chaîne d'approvisionnement. Lorsque du code malveillant arrive via un `npm install`, cela ressemble à un comportement normal. Voici pourquoi c'est important.
L'EDR et les proxys n'ont pas été conçus pour les malwares de la chaîne d'approvisionnement. Lorsque du code malveillant arrive via un `npm install`, cela ressemble à un comportement normal. Voici pourquoi c'est important.
Actualités
Samuel Vandamme
Faites de la place, Mythos. Voici... à peu près n'importe quel autre modèle doté d'un bon harnais.
Faites de la place, Mythos. Voici n'importe quel modèle doté d'un bon harnais.
Mythos présente de réels avantages dans la construction de chaînes d'exploitation. Mais pour la plupart des travaux AppSec, le harnais autour du modèle importe plus que le modèle que vous choisissez.
Mythos présente de réels avantages dans la construction de chaînes d'exploitation. Mais pour la plupart des travaux AppSec, le harnais autour du modèle importe plus que le modèle que vous choisissez.
Actualités
Dania Durnas
Packages npm de Red Hat compromis pour propager un ver voleur de credentials
Packages npm de Red Hat compromis pour propager un ver voleur de credentials
Plusieurs packages npm officiels @redhat-cloud-services ont été compromis par un ver voleur de credentials dérivé du malware open source Mini Shai-Hulud, ciblant les credentials cloud et les outils de développement à travers les pipelines CI/CD.
Plusieurs packages npm officiels @redhat-cloud-services ont été compromis par un ver voleur de credentials dérivé du malware open source Mini Shai-Hulud, ciblant les credentials cloud et les outils de développement à travers les pipelines CI/CD.
Vulnérabilités et menaces
Ilyas Makari
Ce que le MDM ne peut pas protéger sur les machines de développeurs (et comment y remédier)
Ce que le MDM ne peut pas protéger sur les machines de développeurs
Les outils MDM comme Jamf et Kandji sont essentiels, mais ils ne voient pas les installations npm, les extensions d'IDE ou les outils de codage basés sur l'IA. Voici ce qui est réellement non protégé sur vos machines de développeurs et comment combler cette lacune.
La plupart des équipes de sécurité ont déployé un MDM. Le problème est que les installations npm, les extensions VS Code et les outils de codage basés sur l'IA se déroulent complètement en dehors du champ de vision du MDM. Voici ce qui est réellement non protégé et comment combler cette lacune.
Guides et bonnes pratiques
Nicholas Thomson
Meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026
Meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026
Comparez les meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026. Découvrez où Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx et GitLab s'intègrent le mieux.
Comparez les meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026, y compris Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx One et GitLab Secret Detection.
Outils et comparaisons DevSec
Nicholas Thomson
Une interface utilisateur distante de Codex d'apparence légitime vole secrètement vos jetons d'IA
Une interface utilisateur distante de Codex d'apparence légitime vole secrètement vos jetons d'IA
Une interface utilisateur distante de Codex soignée, le package npm codexui-android, est en développement actif et compte des milliers d'utilisateurs hebdomadaires. Elle a discrètement exfiltré des jetons d'authentification OpenAI au cours du dernier mois.
Une interface utilisateur distante de Codex soignée, le package npm codexui-android, est en développement actif et compte des milliers d'utilisateurs hebdomadaires. Elle a discrètement exfiltré des jetons d'authentification OpenAI au cours du dernier mois.
Vulnérabilités et menaces
Charlie Eriksen
Aikido vs XBOW : 58 % de vulnérabilités en plus détectées lors d'un benchmark indépendant
Aikido vs XBOW : 58 % de vulnérabilités en plus détectées lors d'un benchmark indépendant
Aikido et XBOW comparés lors d'un benchmark indépendant par Doyensec. Aikido a détecté 58 % de vulnérabilités en plus pour le même prix. Découvrez le temps de configuration, les taux de faux positifs et les résultats complets.
Nous avons commandité Doyensec pour réaliser un benchmark aveugle et indépendant d'Aikido et XBOW sur les mêmes applications, au même prix. Aikido a détecté 58 % de vulnérabilités vérifiées en plus, et s'est distingué par sa configuration, sa vitesse et sa stabilité.
Actualités
Aleks Frelas
Pourquoi les machines des développeurs sont désormais la cible numéro un des attaques de la chaîne d’approvisionnement
Pourquoi les machines des développeurs sont la cible n°1 des attaques de la chaîne d’approvisionnement | Aikido
Les équipes d'Omnea, Cognism, Glasswall, Raisin et du secteur public britannique révèlent pourquoi les solutions EDR et MDM ne détectent pas ce qui se passe réellement sur les machines des développeurs.
Les équipes d'ingénierie et de sécurité d'Omnea, Cognism, Glasswall et du secteur public britannique ont toutes indépendamment signalé le même angle mort. Voici ce qu'elles font pour y remédier.
Actualités
Sooraj Shah
Une attaque de la supply chain cible les packages Laravel-Lang avec un voleur de credentials
Une attaque de la supply chain cible les packages Laravel-Lang avec un voleur de credentials
Des attaquants ont injecté un voleur de credentials dans plus de 200 versions de packages Laravel-Lang populaires, déployant un logiciel de vol de credentials ciblant les clés cloud, les clés SSH, les navigateurs, les portefeuilles de cryptomonnaies et plus encore.
Des attaquants ont injecté un voleur de credentials dans plus de 200 versions de packages Laravel-Lang populaires, déployant un logiciel de vol de credentials ciblant les clés cloud, les clés SSH, les navigateurs, les portefeuilles de cryptomonnaies et plus encore.
Vulnérabilités et menaces
Ilyas Makari
5 alternatives à Gitleaks et pourquoi elles sont meilleures
5 alternatives à Gitleaks pour une meilleure analyse des secrets en 2026
Vous cherchez une alternative à Gitleaks ? Nous comparons Betterleaks, TruffleHog, Aikido, GitHub Advanced Security et Spectral afin que vous puissiez trouver le meilleur scanner de secrets pour votre équipe.
Gitleaks n'est plus activement développé, et le paysage de l'analyse des secrets a évolué rapidement. Nous comparons les cinq alternatives les plus robustes en 2026, notamment Betterleaks, TruffleHog, Aikido, GitHub Advanced Security et Spectral, afin que vous puissiez trouver la solution adaptée à votre stack.
Outils et comparaisons DevSec
Nicholas Thomson
Le Far West des extensions VS Code et comment une extension piégée a compromis GitHub
Le Far West des extensions VS Code et comment une extension piégée a compromis GitHub
Une extension VS Code piégée a compromis GitHub hier, un jour après que Nx Console (2,2 millions d'installations) ait été compromise pendant 18 minutes sur le Visual Studio Marketplace et ait atteint tous les utilisateurs ayant activé la mise à jour automatique.
Vulnérabilités et menaces
Raphael Silva
GitHub compromis via une extension VS Code malveillante : pourquoi les appareils des développeurs sont la véritable cible
GitHub compromis via une extension VS Code | Attaque de la chaîne d’approvisionnement des développeurs 2026
GitHub a confirmé qu'une extension VS Code empoisonnée avait compromis l'appareil d'un employé, exposant 3 800 dépôts internes. Pourquoi les postes de travail des développeurs sont désormais la principale cible de la chaîne d’approvisionnement.
Vulnérabilités et menaces
Shaun Brown
Le paquet durabletask de Microsoft sur PyPi a été piraté. Mini Shai Hulud frappe à nouveau… encore une fois !
Le paquet durabletask de Microsoft sur PyPi a été piraté. Mini Shai Hulud frappe à nouveau… encore une fois !
Trois versions progressivement compromises d'un paquet Python lié à Microsoft constituent un programme de vol d'informations complet qui se propage via AWS et Kubernetes, exfiltre tous cloud qu'il parvient à trouver et efface les disques durs sur des systèmes israéliens et iraniens
Vulnérabilités et menaces
Raphael Silva
Merci ! Votre soumission a été reçue !
Oups ! Une erreur est survenue lors de la soumission du formulaire.
16 juin 2026
« • »
Vulnérabilités et menaces

Plusieurs extensions pour les IDE de JetBrains ont été prises en flagrant délit de vol de clés d'IA

Une campagne coordonnée impliquant au moins 15 extensions pour les IDE de JetBrains, publiées sous sept comptes de fournisseurs différents, permet d'exfiltrer la clé API du fournisseur d'IA que vous collez dans ses paramètres.

#Malware

10 juin 2026
« • »
Vulnérabilités et menaces

Le crate Rust onering compromis effectue une exfiltration de code

Le crate Rust onering v1.4.1 compromis sur crates.io a livré un fichier build.rs malveillant qui exfiltre le diff de votre dernier commit vers un endpoint Sentry hébergé à chaque build.

#Malware

10 juin 2026
« • »
Vulnérabilités et menaces

Vulnérabilité critique vieille de 10 ans dans phpBB affectant des dizaines de millions d'utilisateurs sur des milliers de forums

#Pentesting IA

2026

L'état de l'IA en 2026 dans la sécurité et le développement

Notre nouveau rapport recueille les témoignages de 450 leaders de la sécurité (CISO ou équivalents), développeurs et ingénieurs AppSec à travers l'Europe et les États-Unis. Ensemble, ils révèlent comment le code généré par l'IA provoque déjà des dysfonctionnements, comment la prolifération des outils aggrave la sécurité et comment l'expérience développeur est directement liée aux taux d'incidents. C'est là que vitesse et sécurité s'entrechoquent en 2025.

Lire la suite
Carte de titre affichant « 2026 State of AI in Security & Development » sur un fond de grille bleu foncé.

Abonnez-vous à notre newsletter.
Pas de spam, garanti.

Vulnérabilités et menaces

Éliminez le bruit grâce à des analyses détaillées de CVE réels, des analyses de malwares, des exploits et des risques émergents.

Voir tout

Actualités

Notre perspective sur les récits qui façonnent la sécurité logicielle actuellement

Voir tout

Cas clients

Découvrez comment des équipes comme la vôtre utilisent Aikido pour simplifier la sécurité et livrer en toute confiance.

Voir tout

Actualités produit et entreprise

Les nouveautés chez Aikido — des lancements de produits aux grandes victoires en matière de sécurité.

Voir tout

Guides et bonnes pratiques

Conseils pratiques, workflows de sécurité et guides pratiques pour vous aider à livrer du code plus sûr, plus rapidement.

Voir tout

Conformité

Gardez une longueur d'avance sur les audits grâce à des conseils clairs et adaptés aux développeurs concernant SOC 2, les normes ISO, le RGPD, le NIS, et bien plus encore.

Voir tout
IA
Aikido Device Protection
Aikido Endpoint
Aikido Zen
Tests d'intrusion IA
Sécurité de l'IA
Annonces
API
AppSec
Article
ASPM
autofix
AutoTriage
AWS
Bazel
CircleCI
Cloud
cnapp
Qualité du code
Codeship
Conformité
Analyse de conteneurs
Pentest continu
Surveillance continue de la sécurité
CSPM
Cyber Resilience Act
DAST
Dépendances
DevSecOps
Fin de vie
Cybersécurité européenne
fintech
Sécurité de l'IDE
Vulnérabilités IDOR
IMDSv1
IMDSv2
Infrastructure as Code (IaC)
Intel
Legaltech
Scanners de licences
Malware
Mythos
Surveillance de la sécurité réseau
NIS2
NPM
open source
OWASP
Pentesting
Pypi
RASP
SAST
SBOM
SCA
Détection de secrets
Logiciel auto-sécurisant
SOC 2
sécurité de la chaîne d’approvisionnement logicielle
Injections SQL
SSDLC
SSRF
Modélisation des menaces
Outils
Tri
cas d'utilisation
Vibe Coding
VS Code
Vulnérabilités
Plus de 140 paquets npm populaires de Mastra ont été touchés par une attaque visant la chaîne d'approvisionnement
Plus de 140 paquets npm populaires de Mastra ont été touchés par une attaque visant la chaîne d'approvisionnement
141 paquets npm de Mastra ont été compromis lors d'une attaque de la chaîne d'approvisionnement qui a consisté à injecter une dépendance malveillante afin de télécharger et d'exécuter discrètement une charge utile au moment de l'installation.
141 paquets npm de Mastra ont été compromis lors d'une attaque de la chaîne d'approvisionnement qui a consisté à injecter une dépendance malveillante afin de télécharger et d'exécuter discrètement une charge utile au moment de l'installation.
Vulnérabilités et menaces
Plusieurs extensions pour les IDE de JetBrains ont été prises en flagrant délit de vol de clés d'IA
Plusieurs extensions pour les IDE de JetBrains ont été prises en flagrant délit de vol de clés d'IA
Une campagne coordonnée impliquant au moins 15 extensions pour les IDE de JetBrains, publiées sous sept comptes de fournisseurs différents, permet d'exfiltrer la clé API du fournisseur d'IA que vous collez dans ses paramètres.
Une campagne coordonnée impliquant au moins 15 extensions pour les IDE de JetBrains, publiées sous sept comptes de fournisseurs différents, permet d'exfiltrer la clé API du fournisseur d'IA que vous collez dans ses paramètres.
Vulnérabilités et menaces
Full Fathom Five : Le contexte de la publication publique de classe Mythos d'Anthropic
Full Fathom Five : Ce que signifie la publication publique de classe Mythos d'Anthropic
Vous n'avez jamais eu besoin de Mythos pour trouver vos IDORs et vos failles de logique métier. Un aperçu de ce qu'Anthropic a livré avec Fable 5, et pourquoi la sécurité de l'information reste fondamentalement un problème humain.
Vous n'avez jamais eu besoin de Mythos pour trouver vos IDORs et vos failles de logique métier. Un aperçu de ce qu'Anthropic a livré avec Fable 5, et pourquoi la sécurité de l'information reste fondamentalement un problème humain.
Actualités
npm v12 apporte l'une des plus grandes améliorations de sécurité depuis des années
npm v12 apporte l'une des plus grandes améliorations de sécurité depuis des années
npm v12 rend les scripts d'installation opt-in par défaut, fermant ainsi le chemin d'exécution au moment de l'installation, après une année de vers de la chaîne d'approvisionnement npm, de Nx à Red Hat.
npm v12 rend les scripts d'installation opt-in par défaut, fermant ainsi le chemin d'exécution au moment de l'installation, après une année de vers de la chaîne d'approvisionnement npm, de Nx à Red Hat.
Actualités
Aikido x Docker : moins de bruit, plus de signal dans vos conteneurs
Aikido prend en charge les images Docker Hardened avec VEX
Aikido prend désormais en charge les images Docker Hardened avec une intégration VEX native, aidant les équipes à réduire le bruit des CVE et à se concentrer sur les vulnérabilités des conteneurs qui nécessitent réellement une attention.
Scannez les images Docker renforcées dans Aikido avec un filtrage VEX automatique pour les CVE non exploitables.
Actualités produit et entreprise
Le code est écrit partout, et l'appareil est la seule constante
Le code est écrit partout et l'appareil est la seule constante | Aikido Security
Les développeurs codent partout. Les agents d'IA, les bots Slack et les serveurs MCP ont fait de l'appareil du développeur le plus grand angle mort en matière de sécurité.
Les développeurs codent partout. Les agents d'IA, les bots Slack et les serveurs MCP ont fait de l'appareil du développeur le plus grand angle mort en matière de sécurité.
Actualités
Les SBOM en 2026 : tout le monde les génère, personne ne les utilise
Les SBOM en 2026 : tout le monde les génère, personne ne les utilise | Aikido Security
Le rapport 2026 de l'ENISA sur l'adoption des SBOM couvre 334 organisations et met en évidence un écart constant entre la génération des SBOM et leur utilisation réelle. Voici ce qui en ressort.
Le rapport 2026 de l'ENISA sur l'adoption des SBOM couvre 334 organisations et met en évidence un écart constant entre la génération des SBOM et leur utilisation réelle. Voici ce qui en ressort.
Actualités
Le crate Rust onering compromis effectue une exfiltration de code
Le crate Rust onering compromis effectue une exfiltration de code
Le crate Rust onering v1.4.1 compromis sur crates.io a livré un fichier build.rs malveillant qui exfiltre le diff de votre dernier commit vers un endpoint Sentry hébergé à chaque build.
Le crate Rust onering v1.4.1 compromis sur crates.io a livré un fichier build.rs malveillant qui exfiltre le diff de votre dernier commit vers un endpoint Sentry hébergé à chaque build.
Vulnérabilités et menaces
Vulnérabilité critique vieille de 10 ans dans phpBB affectant des dizaines de millions d'utilisateurs sur des milliers de forums
Vulnérabilité critique phpBB : Contournement d'authentification + RCE depuis 2014
Aikido Security a découvert une vulnérabilité critique de contournement d'authentification non authentifiée dans phpBB affectant des dizaines de millions d'utilisateurs. Une seule requête HTTP suffit pour prendre le contrôle de n'importe quel compte — une vulnérabilité présente dans la base de code depuis 2014.
Vulnérabilités et menaces
Attendez, binding.gyp peut faire quoi ? Exploration du système de build le plus étrange de npm
Attendez, binding.gyp peut faire quoi ? Exploration du système de build le plus étrange de npm
Plongée approfondie dans binding.gyp, le fichier de build npm souvent négligé qui peut exécuter du code malveillant au moment de l'installation via des expansions de shell, des évasions de sandbox et le détournement de compilateur.
Plongée approfondie dans binding.gyp, le fichier de build npm souvent négligé qui peut exécuter du code malveillant au moment de l'installation via des expansions de shell, des évasions de sandbox et le détournement de compilateur.
Vulnérabilités et menaces
Qu'est-ce que l'AI SAST ?
Qu'est-ce que l'AI SAST ?
L'AI SAST émerge comme une nouvelle catégorie de SAST, mais sa signification est peu claire. Nous clarifions la différence entre le SAST natif IA et le SAST assisté par IA, ainsi que la position de l'AI SAST dans la pile entre le SAST traditionnel et le pentest IA.
L'AI SAST émerge comme une nouvelle catégorie de SAST, mais sa signification est peu claire. Nous clarifions la différence entre le SAST natif IA et le SAST assisté par IA, ainsi que la position de l'AI SAST dans la pile entre le SAST traditionnel et le pentest IA.
Outils et comparaisons DevSec
Les 5 meilleures alternatives à Tenable Nessus en 2026
Les 5 meilleures alternatives à Tenable Nessus en 2026 | Aikido Security
Tenable Nessus est un scanner puissant, mais des outils puissants que personne n'utilise ne rendent pas les logiciels plus sécurisés. Comparez cinq alternatives conçues pour la manière dont les équipes d'ingénierie travaillent réellement.
Tenable Nessus est un puissant scanner d'infrastructure, mais les outils puissants qui restent déconnectés des workflows des développeurs sont des outils que personne n'utilise. Ce guide compare cinq alternatives conçues autour de l'intégration aux workflows des développeurs, de l'étendue de l'AppSec, du coût et de l'expérience de remédiation.
Outils et comparaisons DevSec
Pourquoi l'EDR et les proxys ne vous sauveront pas des malwares de la chaîne d'approvisionnement
Pourquoi l'EDR et les proxys ne vous sauveront pas des malwares de la chaîne d'approvisionnement
L'EDR et les proxys n'ont pas été conçus pour les malwares de la chaîne d'approvisionnement. Lorsque du code malveillant arrive via un `npm install`, cela ressemble à un comportement normal. Voici pourquoi c'est important.
L'EDR et les proxys n'ont pas été conçus pour les malwares de la chaîne d'approvisionnement. Lorsque du code malveillant arrive via un `npm install`, cela ressemble à un comportement normal. Voici pourquoi c'est important.
Actualités
Faites de la place, Mythos. Voici... à peu près n'importe quel autre modèle doté d'un bon harnais.
Faites de la place, Mythos. Voici n'importe quel modèle doté d'un bon harnais.
Mythos présente de réels avantages dans la construction de chaînes d'exploitation. Mais pour la plupart des travaux AppSec, le harnais autour du modèle importe plus que le modèle que vous choisissez.
Mythos présente de réels avantages dans la construction de chaînes d'exploitation. Mais pour la plupart des travaux AppSec, le harnais autour du modèle importe plus que le modèle que vous choisissez.
Actualités
Packages npm de Red Hat compromis pour propager un ver voleur de credentials
Packages npm de Red Hat compromis pour propager un ver voleur de credentials
Plusieurs packages npm officiels @redhat-cloud-services ont été compromis par un ver voleur de credentials dérivé du malware open source Mini Shai-Hulud, ciblant les credentials cloud et les outils de développement à travers les pipelines CI/CD.
Plusieurs packages npm officiels @redhat-cloud-services ont été compromis par un ver voleur de credentials dérivé du malware open source Mini Shai-Hulud, ciblant les credentials cloud et les outils de développement à travers les pipelines CI/CD.
Vulnérabilités et menaces
Ce que le MDM ne peut pas protéger sur les machines de développeurs (et comment y remédier)
Ce que le MDM ne peut pas protéger sur les machines de développeurs
Les outils MDM comme Jamf et Kandji sont essentiels, mais ils ne voient pas les installations npm, les extensions d'IDE ou les outils de codage basés sur l'IA. Voici ce qui est réellement non protégé sur vos machines de développeurs et comment combler cette lacune.
La plupart des équipes de sécurité ont déployé un MDM. Le problème est que les installations npm, les extensions VS Code et les outils de codage basés sur l'IA se déroulent complètement en dehors du champ de vision du MDM. Voici ce qui est réellement non protégé et comment combler cette lacune.
Guides et bonnes pratiques
Meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026
Meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026
Comparez les meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026. Découvrez où Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx et GitLab s'intègrent le mieux.
Comparez les meilleures alternatives à GitGuardian pour l'analyse des secrets en 2026, y compris Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx One et GitLab Secret Detection.
Outils et comparaisons DevSec
Une interface utilisateur distante de Codex d'apparence légitime vole secrètement vos jetons d'IA
Une interface utilisateur distante de Codex d'apparence légitime vole secrètement vos jetons d'IA
Une interface utilisateur distante de Codex soignée, le package npm codexui-android, est en développement actif et compte des milliers d'utilisateurs hebdomadaires. Elle a discrètement exfiltré des jetons d'authentification OpenAI au cours du dernier mois.
Une interface utilisateur distante de Codex soignée, le package npm codexui-android, est en développement actif et compte des milliers d'utilisateurs hebdomadaires. Elle a discrètement exfiltré des jetons d'authentification OpenAI au cours du dernier mois.
Vulnérabilités et menaces
Aikido vs XBOW : 58 % de vulnérabilités en plus détectées lors d'un benchmark indépendant
Aikido vs XBOW : 58 % de vulnérabilités en plus détectées lors d'un benchmark indépendant
Aikido et XBOW comparés lors d'un benchmark indépendant par Doyensec. Aikido a détecté 58 % de vulnérabilités en plus pour le même prix. Découvrez le temps de configuration, les taux de faux positifs et les résultats complets.
Nous avons commandité Doyensec pour réaliser un benchmark aveugle et indépendant d'Aikido et XBOW sur les mêmes applications, au même prix. Aikido a détecté 58 % de vulnérabilités vérifiées en plus, et s'est distingué par sa configuration, sa vitesse et sa stabilité.
Actualités
Pourquoi les machines des développeurs sont désormais la cible numéro un des attaques de la chaîne d’approvisionnement
Pourquoi les machines des développeurs sont la cible n°1 des attaques de la chaîne d’approvisionnement | Aikido
Les équipes d'Omnea, Cognism, Glasswall, Raisin et du secteur public britannique révèlent pourquoi les solutions EDR et MDM ne détectent pas ce qui se passe réellement sur les machines des développeurs.
Les équipes d'ingénierie et de sécurité d'Omnea, Cognism, Glasswall et du secteur public britannique ont toutes indépendamment signalé le même angle mort. Voici ce qu'elles font pour y remédier.
Actualités
Une attaque de la supply chain cible les packages Laravel-Lang avec un voleur de credentials
Une attaque de la supply chain cible les packages Laravel-Lang avec un voleur de credentials
Des attaquants ont injecté un voleur de credentials dans plus de 200 versions de packages Laravel-Lang populaires, déployant un logiciel de vol de credentials ciblant les clés cloud, les clés SSH, les navigateurs, les portefeuilles de cryptomonnaies et plus encore.
Des attaquants ont injecté un voleur de credentials dans plus de 200 versions de packages Laravel-Lang populaires, déployant un logiciel de vol de credentials ciblant les clés cloud, les clés SSH, les navigateurs, les portefeuilles de cryptomonnaies et plus encore.
Vulnérabilités et menaces
5 alternatives à Gitleaks et pourquoi elles sont meilleures
5 alternatives à Gitleaks pour une meilleure analyse des secrets en 2026
Vous cherchez une alternative à Gitleaks ? Nous comparons Betterleaks, TruffleHog, Aikido, GitHub Advanced Security et Spectral afin que vous puissiez trouver le meilleur scanner de secrets pour votre équipe.
Gitleaks n'est plus activement développé, et le paysage de l'analyse des secrets a évolué rapidement. Nous comparons les cinq alternatives les plus robustes en 2026, notamment Betterleaks, TruffleHog, Aikido, GitHub Advanced Security et Spectral, afin que vous puissiez trouver la solution adaptée à votre stack.
Outils et comparaisons DevSec
Le Far West des extensions VS Code et comment une extension piégée a compromis GitHub
Le Far West des extensions VS Code et comment une extension piégée a compromis GitHub
Une extension VS Code piégée a compromis GitHub hier, un jour après que Nx Console (2,2 millions d'installations) ait été compromise pendant 18 minutes sur le Visual Studio Marketplace et ait atteint tous les utilisateurs ayant activé la mise à jour automatique.
Vulnérabilités et menaces
GitHub compromis via une extension VS Code malveillante : pourquoi les appareils des développeurs sont la véritable cible
GitHub compromis via une extension VS Code | Attaque de la chaîne d’approvisionnement des développeurs 2026
GitHub a confirmé qu'une extension VS Code empoisonnée avait compromis l'appareil d'un employé, exposant 3 800 dépôts internes. Pourquoi les postes de travail des développeurs sont désormais la principale cible de la chaîne d’approvisionnement.
Vulnérabilités et menaces
Le paquet durabletask de Microsoft sur PyPi a été piraté. Mini Shai Hulud frappe à nouveau… encore une fois !
Le paquet durabletask de Microsoft sur PyPi a été piraté. Mini Shai Hulud frappe à nouveau… encore une fois !
Trois versions progressivement compromises d'un paquet Python lié à Microsoft constituent un programme de vol d'informations complet qui se propage via AWS et Kubernetes, exfiltre tous cloud qu'il parvient à trouver et efface les disques durs sur des systèmes israéliens et iraniens
Vulnérabilités et menaces
Mini Shai-Hulud frappe à nouveau : un ver npm compromet des centaines de packages @antv
Mini Shai-Hulud frappe à nouveau : un ver npm compromet des centaines de packages @antv
Le ver npm Mini Shai-Hulud a frappé les packages @antv d'Alibaba, echarts-for-react et timeago.js. La charge utile dérobe les secrets CI/CD, implante des backdoors dans VS Code et Claude Code, et se propage en republiant des packages compromis. Voici ce qui s'est passé et comment protéger votre équipe.
Le ver de npm Mini Shai-Hulud est de retour avec sa plus grande vague à ce jour, compromettant des centaines de packages à travers l'écosystème de visualisation de données d'Alibaba. Notre équipe de détection de malwares suit plus de 2 700 dépôts GitHub malveillants créés avec des jetons volés, tandis que le ver continue de se propager.
Vulnérabilités et menaces
Tests d'intrusion vs. red teaming : quelle est la différence ?
Tests d'intrusion vs. Red Teaming : quelle est la différence ?
Vous ne savez pas si vous avez besoin d'un pentest ou d'un engagement de red team ? Ce guide détaille les principales différences, quand utiliser chacun, et comment l'IA transforme les deux approches.
Les tests d'intrusion et le red teaming sont deux méthodes pour tester la robustesse de votre sécurité, mais ce ne sont pas la même chose. Cet article explique le fonctionnement de chaque approche, quand privilégier l'une par rapport à l'autre, et comment le pentest IA modifie la donne.
Guides et bonnes pratiques
Les clés API Google continuent de fonctionner après leur suppression
Les clés API Google continuent de fonctionner après leur suppression, suffisamment longtemps pour être exploitées
La suppression d'une clé API Google ne la révoque pas immédiatement. Nos tests ont révélé des authentifications réussies jusqu'à 23 minutes après la suppression, et Google a refusé de corriger ce problème.
La suppression d'une clé API Google ne la révoque pas immédiatement. Nos tests ont révélé des authentifications réussies jusqu'à 23 minutes après la suppression, et Google a refusé de corriger ce problème.
Vulnérabilités et menaces
L'IA fantôme est une réponse à la peur, et l'interdire ne fait qu'empirer les choses.
Pourquoi les risques liés à l'IA fantôme commencent par la peur (et pourquoi les interdire les aggrave)
Les employés n'utilisent pas d'outils d'IA non approuvés pour causer des problèmes. Ils ont peur de prendre du retard. Voici pourquoi interdire l'IA fantôme augmente votre risque de sécurité, et ce qu'il faut faire à la place.
L'IA fantôme est une réponse à la peur. Les employés cachent les outils qu'ils utilisent parce qu'ils interprètent correctement un marché du travail qui exige des compétences en IA. Voici pourquoi l'interdiction aggrave la situation, et ce qu'il faut faire à la place.
Actualités
Mini Shai-Hulud est de retour : un ver npm affecte plus de 160 paquets, dont Mistral et Tanstack
Mini Shai-Hulud est de retour : un ver npm affecte plus de 160 paquets, dont Mistral et Tanstack
Mini Shai-Hulud est de retour, compromettant 169 paquets npm de TanStack, UiPath, Squawk et d'autres, pour voler les secrets des développeurs et des CI/CD, puis se propager via des workflows de publication de confiance.
Vulnérabilités et menaces
La checklist de sécurité complète des GitHub Actions
Liste de contrôle de sécurité pour GitHub Actions
Les mauvaises configurations de GitHub Actions sont à l'origine de certaines des plus grandes attaques de la chaîne d’approvisionnement de 2025 et 2026. Voici ce qui n'a pas fonctionné et comment les empêcher de se produire dans votre organisation.
Les mauvaises configurations de GitHub Actions sont à l'origine de certaines des plus importantes attaques de la chaîne d’approvisionnement de 2025 et 2026. Voici une liste de contrôle pratique pour s'en protéger.
Guides et bonnes pratiques
Meilleurs scanners OWASP en 2026 pour la sécurité des applications web
Meilleurs scanners OWASP en 2026 pour la sécurité des applications web
La plupart des scanners ne couvrent pas l'intégralité du Top 10 OWASP. Nous détaillons les meilleurs scanners OWASP en 2026 afin que vous puissiez en choisir un qui vous assure une couverture complète.
La plupart des scanners OWASP ne couvrent pas l'intégralité du Top 10. Ce guide présente les meilleurs outils en 2026, ce que chacun couvre réellement, et quel scanner offre une couverture complète sans le bruit.
Outils et comparaisons DevSec
Déployer la sécurité des développeurs dans une organisation de plus de 5 000 ingénieurs
Sécurité des développeurs à l'échelle : un guide de déploiement pour CISO
La plupart des déploiements de sécurité des développeurs échouent car ils sont conçus comme des déploiements logiciels, et non comme des changements culturels. Un guide pratique pour les CISO d'entreprise.
La plupart des déploiements de sécurité pour développeurs échouent car ils sont conçus comme des déploiements logiciels, et non comme des changements culturels. Voici le modèle par phases que les CISO expérimentés adoptent pour y remédier.
Guides et bonnes pratiques
Métamorphose de la sécurité : une liste de contrôle d'architecture prête pour Mythos pour les attaques d'IA autonomes
Métamorphose de la sécurité : une liste de contrôle d'architecture prête pour Mythos pour les attaques d'IA autonomes
L'AppSec a stagné face à la complexité moderne. Le projet Glasswing et l'ère Mythos exigent une discipline de sécurité qui opère à la vitesse des menaces auxquelles elle est confrontée.
L'AppSec a stagné face à la complexité moderne. Le projet Glasswing et l'ère Mythos exigent une discipline de sécurité qui opère à la vitesse des menaces auxquelles elle est confrontée.
Guides et bonnes pratiques
Pourquoi les extensions de navigateur représentent un risque de sécurité majeur et comment y remédier
Pourquoi les extensions de navigateur représentent un risque de sécurité majeur et comment y remédier
Les extensions de navigateur comportent de nombreux risques de sécurité, plus que nous ne voulons l'admettre. Nous abordons l'ampleur de cette menace et ce que les particuliers et les organisations peuvent faire pour y remédier.
Guides et bonnes pratiques
Meilleurs scanners de CVE en 2026 pour identifier les vulnérabilités connues
Meilleurs scanners de CVE en 2026 : Comparaison par Couverture, Intelligence et Auto-Correction
Nous avons évalué les meilleurs scanners de CVE en 2026 selon l'étendue de la couverture, les sources d'intelligence, le rapport signal/bruit et la capacité d'auto-correction. Voici comment ils se comparent et lequel convient le mieux à votre stack.
Tous les scanners de CVE ne sont pas conçus de la même manière. Nous avons comparé les meilleures options en 2026 selon l'étendue de la couverture, les sources d'intelligence, le rapport signal/bruit et la capacité d'auto-correction, afin que vous puissiez trouver celui qui convient le mieux à votre stack.
Outils et comparaisons DevSec
Le package populaire PyTorch Lightning compromis par Mini Shai-Hulud
Le package populaire PyTorch Lightning compromis par Mini Shai-Hulud
Un malware a été découvert dans les versions populaires 2.6.2 et 2.6.3 de PyTorch Lightning, dérobant des identifiants, des portefeuilles crypto et des configurations VPN dans le cadre de la campagne Mini Shai-Hulud.
Un malware a été découvert dans les versions populaires 2.6.2 et 2.6.3 de PyTorch Lightning, dérobant des identifiants, des portefeuilles crypto et des configurations VPN dans le cadre de la campagne Mini Shai-Hulud.
Vulnérabilités et menaces
Une checklist sécurité pratique pour CTO pour être prêt pour Mythos
Checklist Mythos-Ready
Une checklist pratique pour les CTOs SaaS naviguant dans un monde avec Mythos et les menaces d'IA agentique. Conçue autour de l'avantage du défenseur : vous disposez d'un contexte que les attaquants doivent s'efforcer d'obtenir. Elle couvre les contrôles, les pratiques et les habitudes opérationnelles qui déterminent si votre équipe trouve et corrige les problèmes avant que quelqu'un d'autre ne le fasse.
Guides et bonnes pratiques
Quelqu'un a publié quatre versions d'un faux package « tanstack » en 27 minutes pour voler vos fichiers .env
Quatre versions publiées d'un faux package « tanstack » mises en ligne en 27 minutes qui veulent voler vos fichiers .env
Un faux package npm « tanstack » a publié aujourd'hui quatre versions malveillantes en 27 minutes, exfiltrant des fichiers .env via un hook postinstall. Voici ce qui s'est passé, qui a été affecté et comment renouveler vos identifiants.
Vulnérabilités et menaces
Aikido s'intègre à AWS Kiro : La détection en revue ne passe plus à l'échelle
Aikido x Kiro | La détection en revue ne passe plus à l'échelle
Les agents IA écrivent votre code. Aikido s'intègre directement au workflow agentique d'AWS Kiro pour maintenir la sécurité dans la boucle, automatiquement, dès la première ligne. Aikido est le premier partenaire de sécurité mondial d'AWS pour Kiro.
Les agents IA écrivent votre code. Aikido s'intègre directement au workflow agentique d'AWS Kiro pour maintenir la sécurité dans la boucle, automatiquement, dès la première ligne. Aikido est le premier partenaire de sécurité mondial d'AWS pour Kiro.
Actualités produit et entreprise
Mini Shai-Hulud cible les packages npm SAP avec un voleur de secrets basé sur Bun
Mini Shai-Hulud cible les packages npm SAP avec un voleur de secrets basé sur Bun
Des packages npm SAP compromis utilisent une charge utile de pré-installation basée sur Bun pour dérober des secrets GitHub, npm, cloud et CI, puis se propagent via GitHub en utilisant OhNoWhatsGoingOnWithGitHub.
Vulnérabilités et menaces
Il est temps de considérer les extensions de navigateur comme des vecteurs d'attaque de la chaîne d'approvisionnement
Il est temps de considérer les extensions de navigateur comme des vecteurs d'attaque de la chaîne d'approvisionnement | Leçons tirées de la brèche Vercel
La brèche Vercel a suivi un schéma bien connu de l'industrie de la sécurité, où le code tiers est implicitement approuvé, puis compromis en amont. Nous disposons d'un cadre pour cela. Nous ne l'avons simplement pas encore appliqué aux extensions de navigateur. (Spoiler : Nous le faisons pour les dépendances logicielles)
La brèche Vercel a suivi un schéma bien connu de l'industrie de la sécurité, où le code tiers est implicitement approuvé, puis compromis en amont. Nous disposons d'un cadre pour cela. Nous ne l'avons simplement pas encore appliqué aux extensions de navigateur. (Spoiler : Nous le faisons pour les dépendances logicielles)
Vulnérabilités et menaces
Shai-Hulud est-il de retour ? Le CLI Bitwarden compromis contient un ver npm auto-propageant
Shai-Hulud est-il de retour ? Le CLI Bitwarden compromis contient un ver npm auto-propageant
Un malware découvert dans @bitwarden/cli v2026.4.0 dérobe les clés SSH, les secrets cloud et les identifiants d'outils de codage IA, puis se propage via les propres packages npm des victimes. À l'intérieur : un ver se nommant « Shai-Hulud : The Third Coming. »
Un malware découvert dans @bitwarden/cli v2026.4.0 dérobe les clés SSH, les secrets cloud et les identifiants d'outils de codage IA, puis se propage via les propres packages npm des victimes. À l'intérieur : un ver se nommant « Shai-Hulud : The Third Coming. »
Vulnérabilités et menaces
Une backdoor GPT-Proxy dans npm et PyPI transforme les serveurs en relais LLM chinois
Une backdoor GPT-Proxy dans npm et PyPI transforme les serveurs en relais LLM chinois
Une campagne de malwares npm et PyPI récemment découverte installe des proxys LLM cachés sur les serveurs compromis, les transformant en nœuds relais pour le trafic LLM.
Une campagne de malwares npm et PyPI récemment découverte installe des proxys LLM cachés sur les serveurs compromis, les transformant en nœuds relais pour le trafic LLM.
Vulnérabilités et menaces
XSS Roundcube enchaînée avec du cookie tossing pour un accès complet à la boîte de réception
XSS Roundcube enchaînée avec du cookie tossing pour un accès complet à la boîte de réception
Nous avons découvert une XSS stockée dans le point d'accès des pièces jointes de brouillon de Roundcube qui, enchaînée à une technique de cookie tossing, donne à un attaquant un accès complet à la boîte de réception d'une victime. Voici comment la chaîne d'exploitation fonctionne et comment elle a été corrigée.
Nous avons découvert une XSS stockée dans le point d'accès des pièces jointes de brouillon de Roundcube qui, enchaînée à une technique de cookie tossing, donne à un attaquant un accès complet à la boîte de réception d'une victime. Voici comment la chaîne d'exploitation fonctionne et comment elle a été corrigée.
Vulnérabilités et menaces
Présentation de la protection des appareils : Sécurité pour les appareils des développeurs
Aikido Device Protection : Sécurité pour les appareils des développeurs | Aikido
Les attaques de la chaîne d’approvisionnement ciblent les appareils des développeurs. Aikido Device Protection surveille chaque installation sur npm, PyPI, les extensions VS Code, les extensions de navigateur et les outils d'IA.
Actualités produit et entreprise
Multiples vulnérabilités de cross-site scripting (XSS) dans Mailcow
Multiples vulnérabilités XSS découvertes dans Mailcow, y compris une prise de contrôle de compte non authentifiée
L'agent de pentest IA d'Aikido a découvert trois vulnérabilités XSS dans Mailcow, dont l'une permettait à des attaquants non authentifiés de prendre le contrôle de comptes administrateur. Tous les problèmes ont été corrigés à partir de la version 2026-03b.
Les agents de pentest IA d'Aikido ont découvert trois vulnérabilités XSS dans Mailcow, un serveur de messagerie auto-hébergé largement utilisé. La plus sévère permettait à des attaquants non authentifiés d'injecter une charge utile dans les logs Autodiscover qui s'exécuterait lorsqu'un administrateur les consulterait, permettant une prise de contrôle complète du compte. Les trois ont été corrigées depuis la version 2026-03b.
Vulnérabilités et menaces
Sources CVE fiables à l'ère des réductions du NIST NVD
Changements du NIST NVD en 2026 : ce que les équipes de sécurité doivent savoir
Le NIST n'enrichira plus la plupart des CVE. Voici ce qui change, ce qui ne fonctionne plus et ce qui va suivre.
Actualités
Un an d'Opengrep : ce que nous avons construit et la suite
Opengrep SAST après un an : une analyse statique plus rapide et déterministe
Un an après avoir forké Semgrep, Opengrep est plus rapide, prend en charge une analyse de taint plus approfondie et produit des résultats cohérents et reproductibles.
Un an après avoir forké Semgrep, Opengrep est plus rapide, plus performant et entièrement open source. Voici ce que nous avons construit et la suite.
Actualités produit et entreprise
Axios CVE-2026-40175 : une faille critique… non exploitable
Axios CVE-2026-40175 : une faille critique… non exploitable
Axios CVE-2026-40175 est classée critique, mais dans les environnements Node.js réels, elle n'est pas pratiquement exploitable. Voici pourquoi.
Axios CVE-2026-40175 est classée critique, mais dans les environnements Node.js réels, elle n'est pas pratiquement exploitable. Voici pourquoi.
Vulnérabilités et menaces
Le bug bounty n'est pas mort, mais l'ancien modèle est en train de s'effondrer
Le bug bounty n'est pas mort, mais l'ancien modèle est en train de s'effondrer
Le bug bounty atteint un point de rupture alors que l'IA submerge les programmes, poussant à une transition vers des modèles de sécurité plus durables et axés sur la qualité.
Le bug bounty atteint un point de rupture alors que l'IA submerge les programmes, poussant à une transition vers des modèles de sécurité plus durables et axés sur la qualité.
Technique
GlassWorm passe au natif : Un nouveau dropper Zig infecte tous les IDE de votre machine
GlassWorm passe au natif : Un nouveau dropper Zig infecte tous les IDE de votre machine
GlassWorm déploie un dropper natif basé sur Zig, dissimulé dans une fausse extension, compromettant silencieusement VS Code, Cursor, VSCodium et d'autres IDE.
GlassWorm déploie un dropper natif basé sur Zig, dissimulé dans une fausse extension, compromettant silencieusement VS Code, Cursor, VSCodium et d'autres IDE.
Vulnérabilités et menaces
Aikido Attack découvre plusieurs 0-days dans Hoppscotch
Aikido Attack découvre des 0-Days dans Hoppscotch
Les agents de pentest IA d'Aikido ont découvert plusieurs vulnérabilités de gravité élevée dans Hoppscotch, notamment des prises de contrôle de compte, des XSS stockées et des failles de contrôle d'accès. Tous les problèmes sont désormais corrigés.
Aikido Attack a identifié trois vulnérabilités de gravité élevée dans Hoppscotch : une redirection ouverte menant à une prise de contrôle de compte, une XSS stockée et un contrôle d’accès défaillant permettant l'injection de requêtes inter-équipes.
Vulnérabilités et menaces
Le catastrophisme en cybersécurité autour de Mythos ne correspond pas à ce que nous observons sur le terrain
Risques de cybersécurité du modèle Mythos d'Anthropic : Ce que 1 000 pentests basés sur l'IA révèlent réellement
Le modèle Mythos d'Anthropic, qui a fuité, a déclenché une panique concernant les cyberattaques alimentées par l'IA. Nous avons effectué 1 000 tests d'intrusion basés sur l'IA. Les résultats suggèrent que la menace est plus nuancée que ce que les gros titres affirment.
Actualités
axios compromis sur npm : compte du mainteneur piraté, RAT déployé
axios compromis sur npm : compte du mainteneur piraté, RAT déployé
Des versions malveillantes d'axios 1.14.1 et 0.30.4 ont été publiées via un compte de mainteneur piraté. Une dépendance cachée déploie un RAT multiplateforme. Vérifiez si vous êtes affecté et corrigez la situation dès maintenant.
Axios a été compromis. Des versions malveillantes d'axios 1.14.1 et 0.30.4 ont été publiées sur npm après le piratage du compte du mainteneur principal. La dépendance injectée déploie un RAT multiplateforme qui s'autodétruit après exécution.
Vulnérabilités et menaces
Le package populaire telnyx sur PyPI compromis par TeamPCP
Le package populaire telnyx sur PyPI compromis par TeamPCP
Le populaire package telnyx sur PyPI, utilisé par de grandes entreprises d'IA, a été compromis par TeamPCP.
Le populaire package telnyx sur PyPI, utilisé par de grandes entreprises d'IA, a été compromis par TeamPCP.
Vulnérabilités et menaces
Aikido × Lovable : Vibe, Fix, Ship
Lovable s'associe à Aikido pour intégrer le pentesting aux applications « vibe-coded »
Lovable et Aikido intègrent le pentesting à la plateforme, permettant aux développeurs de simuler des attaques réelles et de corriger les problèmes avant le déploiement.
Aikido intègre le pentesting directement dans Lovable. Testez votre application en simulant des attaques réelles et corrigez les problèmes avant de la déployer.
Actualités produit et entreprise
CanisterWorm prend du mordant : Le wiper Kubernetes de TeamPCP cible l'Iran
CanisterWorm prend du mordant : Le wiper Kubernetes de TeamPCP cible l'Iran
CanisterWorm prend du mordant : Le wiper Kubernetes de TeamPCP cible l'Iran
CanisterWorm prend du mordant : Le wiper Kubernetes de TeamPCP cible l'Iran
Vulnérabilités et menaces
TeamPCP déploie CanisterWorm sur NPM suite à la compromission de Trivy
TeamPCP déploie CanisterWorm sur NPM suite à la compromission de Trivy
TeamPCP déploie CanisterWorm sur NPM suite à la compromission de Trivy
TeamPCP déploie CanisterWorm sur NPM suite à la compromission de Trivy
Vulnérabilités et menaces
Aikido reconnu par Frost & Sullivan avec le prix 2026 Customer Value Leadership Award dans la catégorie ASPM
Aikido reconnu par Frost & Sullivan avec le prix 2026 Customer Value Leadership Award dans la catégorie ASPM
Frost & Sullivan a décerné à Aikido le Prix du leadership en valeur client 2026 en ASPM. Nous analysons ce que les critères de reconnaissance révèlent sur la maturation du marché de l'AppSec
Frost & Sullivan a décerné à Aikido le Prix du leadership en valeur client 2026 en ASPM. Nous analysons ce que les critères de reconnaissance révèlent sur la maturation du marché de l'AppSec
Actualités
GlassWorm cache un RAT dans une extension Chrome malveillante
RAT GlassWorm distribué via une extension Chrome malveillante (enregistreur de frappe, vol de cookies)
GlassWorm déploie un RAT multi-étapes qui installe de force une extension Chrome malveillante pour enregistrer les frappes, voler les cookies et exfiltrer des données via un C2 basé sur Solana.
GlassWorm déploie un RAT multi-étapes qui installe de force une extension Chrome malveillante pour enregistrer les frappes, voler les cookies et exfiltrer des données via un C2 basé sur Solana.
Vulnérabilités et menaces
Les tests de sécurité valident un logiciel qui n'existe plus
Pourquoi le pentesting ne peut pas suivre : Le problème de la vitesse dans les tests de sécurité
Les équipes modernes déploient plus vite que le pentesting ne peut suivre. Découvrez l'écart de vitesse croissant dans les tests de sécurité et pourquoi les approches traditionnelles sont à la traîne.
Un CISO d'une grande entreprise nous a dit que la capacité de sécurité la plus importante aujourd'hui est la vitesse. Mais que se passe-t-il lorsque les tests ne peuvent pas suivre la rapidité d'évolution des systèmes ?
Guides et bonnes pratiques
L'extension fast-draft Open VSX compromise par BlokTrooper
L'extension fast-draft Open VSX compromise par BlokTrooper (RAT et Infostealer)
L'extension fast-draft Open VSX a été compromise pour déployer un RAT et un infostealer de BlokTrooper via des charges utiles hébergées sur GitHub. Plusieurs versions malveillantes ont été identifiées.
Une extension populaire d'Open VSX a été compromise et utilisée pour déployer un RAT et un infostealer à partir d'une infrastructure contrôlée par l'attaquant. Son historique de versions révèle la véritable histoire, avec des versions malveillantes apparaissant entre des versions saines.
Vulnérabilités et menaces
Glassworm cible des packages React Native populaires de numéros de téléphone
Glassworm cible des packages React Native populaires de numéros de téléphone dans une nouvelle attaque de la chaîne d'approvisionnement
Les chercheurs d'Aikido Security ont récupéré et déchiffré la chaîne de charge utile complète de deux packages React Native malveillants. Voici ce que fait le malware et ce qu'il faut rechercher.
Deux packages npm React Native populaires ont été compromis par des acteurs présumés de Glassworm et utilisés pour livrer un malware multi-étapes. Voici ce que fait le malware et ce qu'il faut rechercher.
Vulnérabilités et menaces
Glassworm est de retour : une nouvelle vague d'attaques Unicode invisibles frappe des centaines de dépôts
Glassworm revient : un malware Unicode invisible découvert dans plus de 150 dépôts GitHub
L'attaque de la chaîne d’approvisionnement Glassworm est de retour. Des chercheurs ont découvert un malware caché dans des caractères Unicode invisibles dans plus de 150 dépôts GitHub, ainsi que des packages npm et des extensions VS Code.
Glassworm est de retour avec une nouvelle vague d'attaques Unicode invisibles. Nous suivons une nouvelle campagne qui compromet discrètement des dépôts sur GitHub, npm et VS Code.
Vulnérabilités et menaces
Les incontournables Soirées, Événements parallèles & Rencontres sur la sécurité du RSAC 2026
Guide des Soirées & Événements de Sécurité RSAC 2026 | Aikido
Guide des Soirées & Événements de Sécurité RSAC 2026 | Aikido
Actualités
Comment les équipes de sécurité ripostent contre les hackers alimentés par l'IA
Comment les équipes de sécurité ripostent contre les hackers alimentés par l'IA
L'IA a considérablement abaissé la barre pour les hackers. Voici ce que cela signifie pour les défenseurs et comment le pentest IA continu change la donne.
Un seul hacker et un abonnement Claude viennent de paralyser neuf agences gouvernementales mexicaines. L'IA a conféré aux attaquants une sérieuse amélioration de puissance. Les équipes de sécurité ont besoin d'un nouveau playbook.
Vulnérabilités et menaces
Présentation de Betterleaks, un scanner de secrets open source par l'auteur de Gitleaks
Betterleaks : Le successeur de Gitleaks conçu pour une analyse des secrets plus rapide
Betterleaks est un nouveau scanner de secrets open source du créateur de Gitleaks. Un remplacement direct offrant des analyses plus rapides, une détection de l'efficacité des tokens, une validation configurable, et bien plus encore.
Le créateur de Gitleaks lance son successeur. Betterleaks est un scanner de secrets open source plus rapide, conçu pour détecter davantage de fuites et s'adapter aux workflows de développement modernes.
Actualités produit et entreprise
Comment le pentest IA fonctionne-t-il avec la conformité ?
Comment le pentest IA fonctionne-t-il avec la conformité ?
Le pentest IA est accepté pour SOC 2, ISO 27001 et HIPAA (avec d'autres à venir). Voici ce que les auditeurs recherchent réellement, et où se trouvent les véritables limitations.
Le pentest IA est accepté pour SOC 2, ISO 27001, HIPAA et PCI DSS. Voici ce que les auditeurs recherchent réellement et où se situent les véritables limites.
Conformité
La stratégie de cybersécurité de Trump pour 2026 : De la conformité aux conséquences
La stratégie de cybersécurité de Trump pour 2026 : De la conformité à la conséquence
La stratégie de cybersécurité de l'administration Trump pour 2026 déplace l'accent des listes de contrôle de conformité vers de réelles conséquences pour les cybercriminels. Voici ce que les CISO doivent savoir.
Actualités
Ce que le pentest continu exige réellement
Pentest continu : comment il fonctionne et ce qu'il exige
Le pentest continu promet une validation de sécurité en temps réel, mais la plupart des implémentations ne sont pas à la hauteur. Voici ce que le pentest continu exige réellement : des tests sensibles aux changements à la validation des exploits et aux boucles de remédiation.
Le pentest continu est largement discuté, mais rarement défini clairement. Cet article explique ce qu'il est, ce qu'il n'est pas et ce qu'il exige réellement.
Guides et bonnes pratiques
Rare, pas aléatoire : Utilisation de l'efficacité des tokens pour l'analyse des secrets
Rare, pas aléatoire : Utilisation de l'efficacité des tokens pour l'analyse des secrets
L'entropie a souvent du mal avec les secrets génériques et les chaînes courtes. Nous examinons comment l'efficacité des tokens peut mieux identifier les chaînes qui ne ressemblent pas à du texte normal.
L'entropie est excellente pour détecter l'aléatoire. Mais les secrets ne sont pas toujours aléatoires. Ce sont simplement des chaînes qui n'apparaissent pas dans le code ou le texte normal. Nous explorons l'utilisation de la tokenisation BPE pour mesurer cette différence.
Guides et bonnes pratiques
Pourquoi le déterminisme est toujours une nécessité en matière de sécurité
Pourquoi le déterminisme est toujours une nécessité en matière de sécurité
Le scanning par IA trouve ce que les règles manquent. Le scanning déterministe le trouve à chaque fois. Voici pourquoi les meilleures pipelines de sécurité ne choisissent pas entre les deux.
Les outils de sécurité basés sur l'IA s'améliorent dans la détection des vulnérabilités. Cependant, les outils déterministes offrent la cohérence dont dépendent les pipelines, la conformité et les pistes d'audit. Nous examinons ce que l'analyse déterministe fait bien, où l'IA prend le relais, et comment les deux fonctionnent ensemble pour une sécurité efficace.
Ingénierie
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR : Comment fonctionne la sécurité applicative runtime
Les WAF, RASP et ADR protègent votre application de manières complètement différentes. Voici ce que chaque couche fait réellement, ses limites et lesquelles vous avez besoin.
WAF, RASP, ADR, eBPF — Nous clarifions la terminologie autour de la sécurité applicative runtime. Voici ce que fait réellement chaque couche, comment elles se chevauchent et comment elles s'articulent.
Guides
Présentation d'Aikido Infinite : Un nouveau modèle de logiciel auto-sécurisant
Aikido Infinite : Pentest IA continu pour chaque version
Aikido Infinite effectue des pentests IA à chaque modification de code, valide l'exploitabilité, génère des correctifs et reteste les corrections avant que le code ne soit déployé en production, faisant du logiciel auto-sécurisant une réalité.
Actualités produit et entreprise
XSS\/RCE persistants via les WebSockets dans le serveur de développement de Storybook
XSS/RCE persistante via des WebSockets dans Storybook (CVE-2026-27148)
La CVE-2026-27148 révèle une faille de détournement de WebSocket dans Storybook qui peut dégénérer en compromission de la chaîne d'approvisionnement. Découvrez le chemin d'attaque, l'impact et comment y remédier.
Aikido Attack a découvert une vulnérabilité de détournement de WebSocket dans le serveur de développement de Storybook, pouvant entraîner un XSS persistant, une exécution de code à distance et, dans le pire des cas, une compromission de la chaîne d'approvisionnement. Nous expliquons comment un attaquant peut l'exploiter sans aucune interaction utilisateur, et il suffit qu'un développeur visite le mauvais site web pour être exposé à cette attaque.
Vulnérabilités et menaces
Comment Aikido sécurise les agents de pentest IA par conception
Comment Aikido sécurise les agents de pentest IA et prévient la dérive de périmètre
Découvrez comment Aikido sécurise les agents de pentest IA grâce à l'isolation architecturale, à l'application du périmètre d'exécution et à des contrôles au niveau du réseau pour prévenir la dérive en production et les fuites de données.
Les agents IA sont conçus pour explorer. En cybersécurité, cette exploration nécessite des limites strictes. Cet article explique comment Aikido sécurise les agents de pentest IA grâce à l'isolation architecturale, à l'application du périmètre d'exécution et à des contrôles multicouches qui contiennent les risques par conception.
Actualités produit et entreprise
Astro SSRF en lecture complète via injection d'en-tête Host
Vulnérabilité SSRF d'Astro : Injection d'en-tête Host dans les pages d'erreur SSR (CVE-2026-25545)
L'agent de pentest IA d'Aikido Security a découvert une vulnérabilité de type Server-Side Request Forgery dans l'implémentation SSR d'Astro. Découvrez comment l'injection d'en-tête Host dans les pages d'erreur pré-rendues a permis un accès complet au réseau interne.
L'agent de pentest IA d'Aikido a découvert une vulnérabilité SSRF dans l'adaptateur Node.js d'Astro. Nous verrons comment, en injectant un en-tête Host: malveillant, les attaquants pourraient rediriger une requête interne vers n'importe quelle URL du réseau local.
Vulnérabilités et menaces
Comment faire en sorte que votre conseil d'administration se soucie de la sécurité (avant qu'une violation ne force la main)
Comment faire en sorte que votre conseil d'administration se soucie de la sécurité avant une violation
Les conseils d'administration ne financent pas la sécurité parce qu'elle est importante. Ils financent des décisions défendables. Voici comment cadrer les risques, réduire l'ambiguïté et obtenir un soutien réel avant qu'une violation ne force la main.
Guides
Qu'est-ce que le Slopsquatting ? L'attaque par hallucination de packages IA qui est déjà en cours
Slopsquatting : L'attaque par hallucination de packages IA qui est déjà en cours
Les modèles d'IA hallucinent des noms de packages npm. Les attaquants les enregistrent en premier. Voici ce qu'est le slopsquatting, comment il se propage via les compétences des agents, et comment vous protéger.
Les modèles d'IA hallucinent des noms de packages — et les attaquants les enregistrent avant que quiconque ne s'en aperçoive. Le Slopsquatting est l'évolution du typosquatting à l'ère de l'IA, et contrairement à son prédécesseur, les protections existantes de npm ne fonctionnent pas. Nous examinons la recherche concrète montrant que cela se produit déjà, des packages malveillants confirmés qui continuent d'enregistrer des centaines de téléchargements hebdomadaires à un nom de package halluciné qui s'est propagé à 237 dépôts via des fichiers de compétences d'agents IA.
Guides et bonnes pratiques
Les 6 meilleures alternatives à Wiz Code
Alternatives à Wiz Code (2026) : 6 outils comparés et la meilleure option axée sur les développeurs
Vous recherchez des alternatives à Wiz Code ? Comparez 6 outils en fonction du SAST, du DAST, du SCA, de la tarification et de l'expérience développeur pour trouver la meilleure plateforme AppSec pour 2026.
Ce guide compare Wiz Code à six alternatives : Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend et Veracode, évaluées selon leur couverture, l'expérience développeur, le triage par IA, la transparence des prix et la vitesse de déploiement. Aikido Security se distingue pour les équipes recherchant une plateforme axée sur les développeurs avec une large couverture, une réduction de 85 % des faux positifs, une correction automatique par IA (AI AutoFix) pour le SAST, l'IaC et les conteneurs, un DAST natif et une tarification transparente, représentant environ un dixième du coût de Wiz.
Guides et bonnes pratiques
Aikido reconnu comme Leader de plateforme dans le rapport 2026 sur la sécurité des applications de Latio Tech
Aikido nommé Leader de plateforme AppSec dans le rapport Latio 2026
Aikido Security reconnu comme Leader de plateforme, Innovateur en pentest IA et Innovateur en chaîne d'approvisionnement dans le rapport AppSec 2026 de Latio Tech.
Le rapport AppSec 2026 de Latio Tech nomme Aikido Leader de plateforme et Innovateur en IA. Voici ce que le rapport révèle sur l'avenir de la sécurité des applications.
Actualités
De la détection à la prévention : Comment Zen stoppe les vulnérabilités IDOR à l'exécution
De la détection à la prévention : Zen stoppe les IDOR à l'exécution | Aikido
Les vulnérabilités IDOR sont l'une des causes les plus courantes de fuites de données inter-locataires dans les SaaS multi-locataires. Découvrez comment Zen applique l'isolation des locataires à l'exécution en analysant les requêtes SQL et en empêchant les accès non sécurisés avant le déploiement.
Les vulnérabilités IDOR sont une cause majeure de fuites de données inter-locataires dans les applications multi-locataires. Dans cet article, nous expliquons comment Zen va au-delà de la détection et applique l'isolation des locataires à l'exécution, rendant impossible le déploiement accidentel d'accès inter-locataires.
Actualités produit et entreprise
Une backdoor npm permet aux hackers de manipuler les résultats de jeux d'argent
Une attaque sur la chaîne d'approvisionnement npm détourne le backend de jeu pour truquer les résultats de jeux d'argent
Une attaque ciblée sur la chaîne d'approvisionnement npm installe une backdoor Express, permet l'accès à distance aux fichiers SQL et réécrit les soldes de jeux d'argent tout en maintenant la cohérence des logs.
Nous avons découvert des packages npm malveillants qui peuvent modifier les transactions de jeux d'argent en production et maintenir la cohérence interne de la base de données par la suite.
Vulnérabilités et menaces
Pourquoi tenter de sécuriser OpenClaw est ridicule
Pourquoi tenter de sécuriser OpenClaw est ridicule
Les problèmes de sécurité d'OpenClaw expliqués : malware dans ClawHub, instances exposées, et pourquoi les guides de renforcement manquent l'essentiel. Pouvez-vous utiliser l'agent IA en toute sécurité ??
Actualités
Présentation de l'Analyse d'Impact des Mises à Niveau : Quand les breaking changes ont un réel impact sur votre code
Analyse d'Impact des Mises à Niveau : Quand les Breaking Changes ont un Réel Impact | Aikido
Aikido détecte automatiquement les breaking changes lors des mises à niveau de dépendances et analyse votre base de code pour en montrer l'impact réel, permettant ainsi aux équipes de merge les correctifs de sécurité en toute sécurité.
L'analyse d'impact des mises à niveau d'Aikido signale les changements cassants dans les mises à jour de dépendances et montre si ces changements impactent réellement votre code.
Actualités produit et entreprise
Claude Opus 4.6 a découvert 500 vulnérabilités. Qu'est-ce que cela change pour la sécurité logicielle ?
Claude Opus 4.6 a découvert 500 vulnérabilités : Ce que cela signifie pour la sécurité logicielle
Anthropic affirme que Claude Opus 4.6 a découvert plus de 500 vulnérabilités de haute gravité dans l'open source. Voici ce que cela implique pour la découverte de vulnérabilités, la validation de l'exploitabilité et les workflows de sécurité en production.
Claude Opus 4.6 aurait découvert plus de 500 vulnérabilités de haute gravité dans l'open source. Cet article examine ce que cela change concrètement en production, où le raisonnement des LLM est utile, et pourquoi la validation et l'accessibilité déterminent toujours l'impact réel sur la sécurité.
Actualités
Présentation des Aikido Expansion Packs : Des configurations par défaut plus sûres au sein de l'IDE
Aikido Expansion Packs : Des configurations par défaut plus sûres au sein de l'IDE
Les Aikido Expansion Packs ajoutent des contrôles de sécurité ciblés directement au sein de votre IDE. Activez la protection des secrets, les vérifications de logiciels malveillants dans la chaîne d'approvisionnement et la sécurité du code assistée par l'IA sans modifier les workflows des développeurs.
Actualités produit et entreprise
Rapport international sur la sécurité de l'IA 2026 : ce que cela signifie pour les systèmes d'IA autonomes
Rapport international sur la sécurité de l'IA 2026 : Analyse d'Aikido Security
L'analyse d'Aikido Security du Rapport international sur la sécurité de l'IA 2026. Nous examinons les contrôles au moment du déploiement, les exigences de validation et les bases de sécurité pratiques pour les systèmes d'IA autonomes.
Plus de 100 experts ont contribué au Rapport international sur la sécurité de l'IA 2026, documentant les risques liés aux systèmes d'IA autonomes et proposant des cadres de défense en profondeur. En tant qu'équipe exploitant des systèmes de pentest IA en production, nous analysons les points où le rapport est pertinent et ceux où il nécessite plus de spécificité technique.
Actualités
Logiciel auto-sécurisé : ce que c'est, pourquoi c'est important et comment ça fonctionne
Qu'est-ce qu'un logiciel auto-sécurisant ? Un nouveau modèle de sécurité pour les logiciels modernes
Le logiciel auto-sécurisant est un modèle de sécurité où les systèmes valident et corrigent continuellement les risques réels à mesure qu'ils évoluent. Découvrez pourquoi les tests périodiques ne sont plus adaptés.
Le logiciel auto-sécurisant considère la sécurité comme une capacité système intégrée, et non comme un processus périodique. Cet article explique pourquoi les logiciels modernes exigent un nouveau modèle de sécurité et ce qui le rend possible aujourd'hui.
Actualités produit et entreprise
SDLC Sécurisé pour les Équipes d'Ingénierie (+ Checklist)
Le SDLC Sécurisé Expliqué : Les 5 Piliers d'un Cycle de Vie du Développement Logiciel Sécurisé
Découvrez ce qu'est un SDLC Sécurisé, pourquoi il est important, et les cinq piliers dont chaque équipe a besoin. Inclut une checklist pratique du SDLC Sécurisé pour les CTO et les leaders de l'ingénierie.
Guides et bonnes pratiques
Top 10 des Outils de Sécurité IA pour 2026
Top 10 des Outils de Sécurité IA pour 2026 : Fonctionnalités, Avantages et Comparaisons
Explorez les meilleurs outils de sécurité IA pour 2026. Comparez les plateformes pour la code review IA, la détection de vulnérabilités, le pentesting et la gestion des risques afin de sécuriser les applications modernes.
Outils et comparaisons DevSec
Top 10 des Outils de Cybersécurité pour 2026
Top 10 des Outils de Cybersécurité pour 2026 : Détection, Cloud, XDR & AppSec
Une analyse pratique des 10 meilleurs outils de cybersécurité pour 2026, couvrant les terminaux, le cloud, l'identité, la gestion des vulnérabilités et l'XDR. Découvrez comment choisir l'outil adapté à votre stack et à votre profil de risque.
Outils et comparaisons DevSec
Qu'est-ce que le pentest continu ?
Qu'est-ce que le pentest continu ? Comment les équipes modernes réduisent les risques exploitables
Le pentest continu teste automatiquement les chemins d'attaque réels à chaque modification logicielle, validant et corrigeant les problèmes dans le cadre du cycle de vie du développement. Découvrez comment il se compare au pentest IA et manuel.
Le pentest continu traite la sécurité comme un système vivant, et non comme un test ponctuel. Découvrez comment les équipes modernes l'utilisent pour réduire les risques exploitables à mesure que le logiciel évolue.
Guides et bonnes pratiques
npx Confusion : Des packages qui ont oublié de revendiquer leur propre nom
npx Confusion : Des packages qui ont oublié de revendiquer leur propre nom
Nous avons revendiqué 128 noms de packages npm non réclamés que la documentation officielle indiquait aux développeurs d'utiliser avec npx. Sept mois plus tard : 121 000 téléchargements. Tous auraient exécuté du code arbitraire.
La documentation officielle indique aux développeurs d'exécuter `npx package-name`. Mais que se passe-t-il si personne n'a revendiqué ce nom ? Nous en avons enregistré 128 et avons observé. 121 000 téléchargements en sept mois. La baisse pendant les vacances prouve qu'il s'agit de vrais développeurs, et non de bots.
Vulnérabilités et menaces
Présentation d'Aikido Package Health : une meilleure façon de faire confiance à vos dépendances
Aikido Package Health : Score de Santé pour les Packages Open Source
Découvrez la stabilité et la qualité de maintenance réelles d'un package open source. Aikido Package Health aide les développeurs à choisir des dépendances plus sûres en toute confiance.
Actualités produit et entreprise
Pentest IA : exigences minimales de sécurité pour les tests de sécurité
Quand le pentest IA est-il sûr ? Exigences minimales de sécurité pour les tests de sécurité
Les systèmes de pentest IA agissent de manière autonome sur des environnements en production. Découvrez quand le pentest IA peut être utilisé en toute sécurité, les mesures de sécurité techniques minimales requises et comment évaluer les outils de test de sécurité basés sur l'IA de manière responsable.
Le pentest IA est déjà là, mais les attentes claires en matière de sécurité ne le sont pas. Cet article définit une norme de sécurité minimale pour le pentest IA, offrant aux équipes une base concrète pour évaluer les outils émergents.
Guides et bonnes pratiques
Une fausse extension VS Code Clawdbot installe le RAT ScreenConnect
Une fausse extension VS Code Clawdbot installe le RAT ScreenConnect
Une extension VS Code malveillante se faisant passer pour Clawdbot installe un RAT ScreenConnect sur les machines des développeurs.
Une extension VS Code malveillante se faisant passer pour Clawdbot installe un RAT ScreenConnect sur les machines des développeurs.
Vulnérabilités et menaces
Les 7 meilleurs outils de renseignement sur les menaces en 2026
Les 7 meilleurs outils de renseignement sur les menaces en 2026 : Réduire le bruit et se concentrer sur les risques réels
Une analyse approfondie des meilleurs outils de renseignement sur les menaces de 2026, comparant comment ils réduisent la fatigue d'alertes, ajoutent du contexte et aident les équipes à prioriser les risques de sécurité réels.
Outils et comparaisons DevSec
Les 14 meilleures extensions VS Code pour 2026
Top 14 des extensions VS Code pour 2026 : Productivité, Tests, Sécurité et Collaboration
Un guide pratique des meilleures extensions VS Code pour 2026, couvrant les outils de productivité, de test, de collaboration et de sécurité qui améliorent les workflows réels des développeurs.
Outils et comparaisons DevSec
Merci ! Votre soumission a été reçue !
Oups ! Une erreur est survenue lors de la soumission du formulaire.
17 juin 2026
« • »
Vulnérabilités et menaces

Plus de 140 paquets npm populaires de Mastra ont été touchés par une attaque visant la chaîne d'approvisionnement

141 paquets npm de Mastra ont été compromis lors d'une attaque de la chaîne d'approvisionnement qui a consisté à injecter une dépendance malveillante afin de télécharger et d'exécuter discrètement une charge utile au moment de l'installation.

Tags/

#Malware

13 juin 2026
« • »
Actualités

Full Fathom Five : Le contexte de la publication publique de classe Mythos d'Anthropic

Vous n'avez jamais eu besoin de Mythos pour trouver vos IDORs et vos failles de logique métier. Un aperçu de ce qu'Anthropic a livré avec Fable 5, et pourquoi la sécurité de l'information reste fondamentalement un problème humain.

Tags/

#AI

#Mythos

#AppSec

#Article

11 juin 2026
« • »
Actualités

npm v12 apporte l'une des plus grandes améliorations de sécurité depuis des années

npm v12 rend les scripts d'installation opt-in par défaut, fermant ainsi le chemin d'exécution au moment de l'installation, après une année de vers de la chaîne d'approvisionnement npm, de Nx à Red Hat.

Tags/

#NPM

#open-source

11 juin 2026
« • »
Actualités produit et entreprise

Aikido x Docker : moins de bruit, plus de signal dans vos conteneurs

Scannez les images Docker renforcées dans Aikido avec un filtrage VEX automatique pour les CVE non exploitables.

Tags/
Aucun élément trouvé.
10 juin 2026
« • »
Actualités

Le code est écrit partout, et l'appareil est la seule constante

Les développeurs codent partout. Les agents d'IA, les bots Slack et les serveurs MCP ont fait de l'appareil du développeur le plus grand angle mort en matière de sécurité.

Tags/

#Aikido Device Protection

10 juin 2026
« • »
Actualités

Les SBOM en 2026 : tout le monde les génère, personne ne les utilise

Le rapport 2026 de l'ENISA sur l'adoption des SBOM couvre 334 organisations et met en évidence un écart constant entre la génération des SBOM et leur utilisation réelle. Voici ce qui en ressort.

Tags/

#SBOM

2 juin 2026
« • »
Actualités

Pourquoi l'EDR et les proxys ne vous sauveront pas des malwares de la chaîne d'approvisionnement

L'EDR et les proxys n'ont pas été conçus pour les malwares de la chaîne d'approvisionnement. Lorsque du code malveillant arrive via un `npm install`, cela ressemble à un comportement normal. Voici pourquoi c'est important.

Tags/

#Vulnérabilités

#Aikido Device Protection

28 mai 2026
« • »
Guides et bonnes pratiques

Ce que le MDM ne peut pas protéger sur les machines de développeurs (et comment y remédier)

La plupart des équipes de sécurité ont déployé un MDM. Le problème est que les installations npm, les extensions VS Code et les outils de codage basés sur l'IA se déroulent complètement en dehors du champ de vision du MDM. Voici ce qui est réellement non protégé et comment combler cette lacune.

Tags/

#Aikido Device Protection

#Sécurité de l'IDE

#Sécurité de l'IA

#Sécurité de la chaîne d’approvisionnement logicielle

27 mai 2026
« • »
Vulnérabilités et menaces

Une interface utilisateur distante de Codex d'apparence légitime vole secrètement vos jetons d'IA

Une interface utilisateur distante de Codex soignée, le package npm codexui-android, est en développement actif et compte des milliers d'utilisateurs hebdomadaires. Elle a discrètement exfiltré des jetons d'authentification OpenAI au cours du dernier mois.

Tags/

#Vulnérabilités

#NPM

23 mai 2026
« • »
Vulnérabilités et menaces

Une attaque de la supply chain cible les packages Laravel-Lang avec un voleur de credentials

Des attaquants ont injecté un voleur de credentials dans plus de 200 versions de packages Laravel-Lang populaires, déployant un logiciel de vol de credentials ciblant les clés cloud, les clés SSH, les navigateurs, les portefeuilles de cryptomonnaies et plus encore.

Tags/

#Malware

12 mai 2026
« • »
Actualités

L'IA fantôme est une réponse à la peur, et l'interdire ne fait qu'empirer les choses.

L'IA fantôme est une réponse à la peur. Les employés cachent les outils qu'ils utilisent parce qu'ils interprètent correctement un marché du travail qui exige des compétences en IA. Voici pourquoi l'interdiction aggrave la situation, et ce qu'il faut faire à la place.

Tags/

#AI

#Sécurité de l'IA

#Legaltech

12 mai 2026
« • »
Vulnérabilités et menaces

Mini Shai-Hulud est de retour : un ver npm affecte plus de 160 paquets, dont Mistral et Tanstack

Tags/

#Malware

Actualités produit et entreprise
Voir tout
Voir tout
12 mai 2026
« • »
Actualités produit et entreprise

Un an d'Opengrep : ce que nous avons construit et la suite

Un an après avoir forké Semgrep, Opengrep est plus rapide, prend en charge une analyse de taint plus approfondie et produit des résultats cohérents et reproductibles.

#
SAST
#
open source
30 avril 2026
« • »
Actualités produit et entreprise

Aikido s'intègre à AWS Kiro : La détection en revue ne passe plus à l'échelle

Les agents IA écrivent votre code. Aikido s'intègre directement au workflow agentique d'AWS Kiro pour maintenir la sécurité dans la boucle, automatiquement, dès la première ligne. Aikido est le premier partenaire de sécurité mondial d'AWS pour Kiro.

#
Annonces
24 mars 2026
« • »
Actualités produit et entreprise

Aikido × Lovable : Vibe, Fix, Ship

Lovable et Aikido intègrent le pentesting à la plateforme, permettant aux développeurs de simuler des attaques réelles et de corriger les problèmes avant le déploiement.

#
Annonces
#
Tests d'intrusion IA
Vulnérabilités et menaces
Voir tout
Voir tout
16 juin 2026
« • »
Vulnérabilités et menaces

Plusieurs extensions pour les IDE de JetBrains ont été prises en flagrant délit de vol de clés d'IA

Une campagne coordonnée impliquant au moins 15 extensions pour les IDE de JetBrains, publiées sous sept comptes de fournisseurs différents, permet d'exfiltrer la clé API du fournisseur d'IA que vous collez dans ses paramètres.

#
Malware
10 juin 2026
« • »
Vulnérabilités et menaces

Vulnérabilité critique vieille de 10 ans dans phpBB affectant des dizaines de millions d'utilisateurs sur des milliers de forums

Aikido Security a découvert une vulnérabilité critique de contournement d'authentification non authentifiée dans phpBB affectant des dizaines de millions d'utilisateurs. Une seule requête HTTP suffit pour prendre le contrôle de n'importe quel compte — une vulnérabilité présente dans la base de code depuis 2014.

#
Tests d'intrusion IA
9 juin 2026
« • »
Vulnérabilités et menaces

Attendez, binding.gyp peut faire quoi ? Exploration du système de build le plus étrange de npm

Plongée approfondie dans binding.gyp, le fichier de build npm souvent négligé qui peut exécuter du code malveillant au moment de l'installation via des expansions de shell, des évasions de sandbox et le détournement de compilateur.

#
Malware
Outils et comparaisons DevSec
Voir tout
Voir tout
19 août 2025
« • »
Outils et comparaisons DevSec

Les 13 meilleurs outils Tests de sécurité des applications dynamiques DAST) en 2026

Découvrez les 13 meilleurs outils Tests de sécurité des applications dynamiques DAST) en 2026. Comparez leurs fonctionnalités, leurs avantages, leurs inconvénients et leurs intégrations afin de choisir la DAST la mieux adaptée à votre DevSecOps .

#
Outils
#
DAST
18 juillet 2025
« • »
Outils et comparaisons DevSec

Top 14 des outils d'analyse de conteneurs en 2026

Découvrez les 14 meilleurs outils d'analyse de conteneurs en 2026. Comparez les fonctionnalités, les avantages, les inconvénients et les intégrations pour choisir la bonne solution pour votre pipeline DevSecOps.

#
Outils
#
Analyse de conteneurs
17 juillet 2025
« • »
Outils et comparaisons DevSec

Les 10 meilleurs outils d'analyse de la composition logicielle (SCA) en 2026

Les outils SCA sont notre meilleure ligne de défense pour la sécurité open source ; cet article explore les 10 meilleurs scanners de dépendances open source pour 2026

#
Outils
#
SCA
Guides et bonnes pratiques
Voir tout
Voir tout
30 avril 2026
« • »
Guides et bonnes pratiques

Une checklist sécurité pratique pour CTO pour être prêt pour Mythos

Une checklist pratique pour les CTOs SaaS naviguant dans un monde avec Mythos et les menaces d'IA agentique. Conçue autour de l'avantage du défenseur : vous disposez d'un contexte que les attaquants doivent s'efforcer d'obtenir. Elle couvre les contrôles, les pratiques et les habitudes opérationnelles qui déterminent si votre équipe trouve et corrige les problèmes avant que quelqu'un d'autre ne le fasse.

#
IA
#
Logiciel auto-sécurisant
#
Annonces
19 mars 2026
« • »
Guides et bonnes pratiques

Les tests de sécurité valident un logiciel qui n'existe plus

Les équipes modernes déploient plus vite que le pentesting ne peut suivre. Découvrez l'écart de vitesse croissant dans les tests de sécurité et pourquoi les approches traditionnelles sont à la traîne.

#
Tests d'intrusion IA
#
Pentest continu
#
Pentesting
6 mars 2026
« • »
Guides et bonnes pratiques

Ce que le pentest continu exige réellement

Le pentest continu promet une validation de sécurité en temps réel, mais la plupart des implémentations ne sont pas à la hauteur. Voici ce que le pentest continu exige réellement : des tests sensibles aux changements à la validation des exploits et aux boucles de remédiation.

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer l’analyse
Sans carte bancaire
Planifiez une démo
Aucune carte de crédit requise | Résultats en 32 secondes.