Bienvenue sur notre blog.

GitGuardian meilleures GitGuardian pour analyse des secrets 2026

Comparez les meilleures GitGuardian pour analyse des secrets 2026, notamment Aikido , Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx et GitLab Secret Detection.

Une interface utilisateur à distance « Codex », d'apparence légitime, vole secrètement vos jetons d'IA

Aikido XBOW: 58 % de vulnérabilités supplémentaires détectées lors d'un test de performance indépendant

Pourquoi les machines des développeurs sont désormais la cible numéro un des attaques de la chaîne d’approvisionnement

Pourquoi les machines des développeurs sont la cible n° 1 des attaques de la chaîne d’approvisionnement Aikido

Une attaque par chaîne d'approvisionnement vise les paquets Laravel-Lang à l'aide d'un programme de vol d'identifiants

5 alternatives à Gitleaks et pourquoi elles sont meilleures

5 alternatives à Gitleaks pour analyse des secrets meilleure analyse des secrets 2026

Le Far West des extensions VS Code et comment une extension malveillante a compromis GitHub

GitHub piraté via une extension malveillante de VS Code : pourquoi les appareils des développeurs sont la véritable cible

GitHub piraté via une extension VS Code | Attaque de la chaîne d'approvisionnement des développeurs en 2026

Le paquet durabletask de Microsoft sur PyPi a été piraté. Mini Shai Hulud frappe à nouveau… encore une fois !

Mini Shai-Hulud frappe à nouveau : un ver npm compromet des centaines de packages @antv

Tests d'intrusion vs. red teaming : quelle est la différence ?

Tests d'intrusion vs. Red Teaming : quelle est la différence ?

Les clés API Google continuent de fonctionner même après leur suppression

Les clés API Google continuent de fonctionner après leur suppression pendant suffisamment longtemps pour pouvoir être exploitées

L'IA fantôme est une réponse à la peur, et l'interdire ne fait qu'empirer les choses.

Pourquoi les risques liés à l'IA fantôme commencent par la peur (et pourquoi les interdire les aggrave)

Mini Shai-Hulud est de retour : un ver npm affecte plus de 160 paquets, dont Mistral et Tanstack

La checklist de sécurité complète des GitHub Actions

Liste de contrôle de sécurité pour GitHub Actions

Meilleurs scanners OWASP en 2026 pour la sécurité des applications web

Déployer la sécurité des développeurs dans une organisation de plus de 5 000 ingénieurs

Sécurité des développeurs à l'échelle : un guide de déploiement pour CISO

Métamorphose de la sécurité : une liste de contrôle d'architecture prête pour Mythos pour les attaques d'IA autonomes

L'AppSec a stagné face à la complexité moderne. Le projet Glasswing et l'ère Mythos exigent une discipline de sécurité qui opère à la vitesse des menaces auxquelles elle est confrontée.

Pourquoi les extensions de navigateur représentent un risque de sécurité majeur et comment y remédier

Meilleurs scanners de CVE en 2026 pour identifier les vulnérabilités connues

Meilleurs scanners de CVE en 2026 : Comparaison par Couverture, Intelligence et Auto-Correction

Le package populaire PyTorch Lightning compromis par Mini Shai-Hulud

Une checklist sécurité pratique pour CTO pour être prêt pour Mythos

Checklist Mythos-Ready

Quelqu'un a publié quatre versions d'un faux package « tanstack » en 27 minutes pour voler vos fichiers .env

Quatre versions publiées d'un faux package « tanstack » mises en ligne en 27 minutes qui veulent voler vos fichiers .env

Aikido s'intègre à AWS Kiro : La détection en revue ne passe plus à l'échelle

Aikido x Kiro | La détection en revue ne passe plus à l'échelle

Mini Shai-Hulud cible les packages npm SAP avec un voleur de secrets basé sur Bun

Des packages npm SAP compromis utilisent une charge utile de pré-installation basée sur Bun pour dérober des secrets GitHub, npm, cloud et CI, puis se propagent via GitHub en utilisant OhNoWhatsGoingOnWithGitHub.

Il est temps de considérer les extensions de navigateur comme des vecteurs d'attaque de la chaîne d'approvisionnement

Il est temps de considérer les extensions de navigateur comme des vecteurs d'attaque de la chaîne d'approvisionnement | Leçons tirées de la brèche Vercel

La brèche Vercel a suivi un schéma bien connu de l'industrie de la sécurité, où le code tiers est implicitement approuvé, puis compromis en amont. Nous disposons d'un cadre pour cela. Nous ne l'avons simplement pas encore appliqué aux extensions de navigateur. (Spoiler : Nous le faisons pour les dépendances logicielles)

Shai-Hulud est-il de retour ? Le CLI Bitwarden compromis contient un ver npm auto-propageant

Un malware découvert dans @bitwarden/cli v2026.4.0 dérobe les clés SSH, les secrets cloud et les identifiants d'outils de codage IA, puis se propage via les propres packages npm des victimes. À l'intérieur : un ver se nommant « Shai-Hulud : The Third Coming. »

Une backdoor GPT-Proxy dans npm et PyPI transforme les serveurs en relais LLM chinois

Une campagne de malwares npm et PyPI récemment découverte installe des proxys LLM cachés sur les serveurs compromis, les transformant en nœuds relais pour le trafic LLM.

XSS Roundcube enchaînée avec du cookie tossing pour un accès complet à la boîte de réception

Nous avons découvert une XSS stockée dans le point d'accès des pièces jointes de brouillon de Roundcube qui, enchaînée à une technique de cookie tossing, donne à un attaquant un accès complet à la boîte de réception d'une victime. Voici comment la chaîne d'exploitation fonctionne et comment elle a été corrigée.

Présentation de la protection des appareils : la sécurité pour les appareils des développeurs

Protection Aikido : sécurité pour les appareils des développeurs | Aikido

attaques de la chaîne d’approvisionnement les appareils des développeurs. Aikido Protection surveille chaque installation sur npm, PyPI, les extensions VS Code, les extensions de navigateur et les outils d'IA.

Multiples vulnérabilités de cross-site scripting (XSS) dans Mailcow

Multiples vulnérabilités XSS découvertes dans Mailcow, y compris une prise de contrôle de compte non authentifiée

L'agent de pentest IA d'Aikido a découvert trois vulnérabilités XSS dans Mailcow, dont l'une permettait à des attaquants non authentifiés de prendre le contrôle de comptes administrateur. Tous les problèmes ont été corrigés à partir de la version 2026-03b.

Les agents de pentest IA d'Aikido ont découvert trois vulnérabilités XSS dans Mailcow, un serveur de messagerie auto-hébergé largement utilisé. La plus sévère permettait à des attaquants non authentifiés d'injecter une charge utile dans les logs Autodiscover qui s'exécuterait lorsqu'un administrateur les consulterait, permettant une prise de contrôle complète du compte. Les trois ont été corrigées depuis la version 2026-03b.

Sources CVE fiables à l'ère des réductions du NIST NVD

Changements du NIST NVD en 2026 : ce que les équipes de sécurité doivent savoir

Le NIST n'enrichira plus la plupart des CVE. Voici ce qui change, ce qui ne fonctionne plus et ce qui va suivre.

Un an d'Opengrep : ce que nous avons construit et la suite

Opengrep SAST après un an : une analyse statique plus rapide et déterministe

Un an après avoir forké Semgrep, Opengrep est plus rapide, prend en charge une analyse de taint plus approfondie et produit des résultats cohérents et reproductibles.

Un an après avoir forké Semgrep, Opengrep est plus rapide, plus performant et entièrement open source. Voici ce que nous avons construit et la suite.

Axios CVE-2026-40175 : une faille critique… non exploitable

Axios CVE-2026-40175 est classée critique, mais dans les environnements Node.js réels, elle n'est pas pratiquement exploitable. Voici pourquoi.

Le bug bounty n'est pas mort, mais l'ancien modèle est en train de s'effondrer

Le bug bounty atteint un point de rupture alors que l'IA submerge les programmes, poussant à une transition vers des modèles de sécurité plus durables et axés sur la qualité.

Technique

GlassWorm passe au natif : Un nouveau dropper Zig infecte tous les IDE de votre machine

GlassWorm déploie un dropper natif basé sur Zig, dissimulé dans une fausse extension, compromettant silencieusement VS Code, Cursor, VSCodium et d'autres IDE.

Aikido Attack découvre plusieurs 0-days dans Hoppscotch

Aikido Attack découvre des 0-Days dans Hoppscotch

Les agents de pentest IA d'Aikido ont découvert plusieurs vulnérabilités de gravité élevée dans Hoppscotch, notamment des prises de contrôle de compte, des XSS stockées et des failles de contrôle d'accès. Tous les problèmes sont désormais corrigés.

Aikido Attack a identifié trois vulnérabilités de gravité élevée dans Hoppscotch : une redirection ouverte menant à une prise de contrôle de compte, une XSS stockée et un contrôle d’accès défaillant permettant l'injection de requêtes inter-équipes.

Le catastrophisme en cybersécurité autour de Mythos ne correspond pas à ce que nous observons sur le terrain

Risques de cybersécurité du modèle Mythos d'Anthropic : Ce que 1 000 pentests basés sur l'IA révèlent réellement

Le modèle Mythos d'Anthropic, qui a fuité, a déclenché une panique concernant les cyberattaques alimentées par l'IA. Nous avons effectué 1 000 tests d'intrusion basés sur l'IA. Les résultats suggèrent que la menace est plus nuancée que ce que les gros titres affirment.

axios compromis sur npm : compte du mainteneur piraté, RAT déployé

Des versions malveillantes d'axios 1.14.1 et 0.30.4 ont été publiées via un compte de mainteneur piraté. Une dépendance cachée déploie un RAT multiplateforme. Vérifiez si vous êtes affecté et corrigez la situation dès maintenant.

Axios a été compromis. Des versions malveillantes d'axios 1.14.1 et 0.30.4 ont été publiées sur npm après le piratage du compte du mainteneur principal. La dépendance injectée déploie un RAT multiplateforme qui s'autodétruit après exécution.

Le package populaire telnyx sur PyPI compromis par TeamPCP

Le populaire package telnyx sur PyPI, utilisé par de grandes entreprises d'IA, a été compromis par TeamPCP.

Aikido × Lovable : Vibe, Fix, Ship

Lovable s'associe à Aikido pour intégrer le pentesting aux applications « vibe-coded »

Lovable et Aikido intègrent le pentesting à la plateforme, permettant aux développeurs de simuler des attaques réelles et de corriger les problèmes avant le déploiement.

Aikido intègre le pentesting directement dans Lovable. Testez votre application en simulant des attaques réelles et corrigez les problèmes avant de la déployer.

CanisterWorm prend du mordant : Le wiper Kubernetes de TeamPCP cible l'Iran

TeamPCP déploie CanisterWorm sur NPM suite à la compromission de Trivy

Aikido reconnu par Frost & Sullivan avec le prix 2026 Customer Value Leadership Award dans la catégorie ASPM

Frost & Sullivan a décerné à Aikido le Prix du leadership en valeur client 2026 en ASPM. Nous analysons ce que les critères de reconnaissance révèlent sur la maturation du marché de l'AppSec

GlassWorm cache un RAT dans une extension Chrome malveillante

RAT GlassWorm distribué via une extension Chrome malveillante (enregistreur de frappe, vol de cookies)

GlassWorm déploie un RAT multi-étapes qui installe de force une extension Chrome malveillante pour enregistrer les frappes, voler les cookies et exfiltrer des données via un C2 basé sur Solana.

Les tests de sécurité valident un logiciel qui n'existe plus

Pourquoi le pentesting ne peut pas suivre : Le problème de la vitesse dans les tests de sécurité

Les équipes modernes déploient plus vite que le pentesting ne peut suivre. Découvrez l'écart de vitesse croissant dans les tests de sécurité et pourquoi les approches traditionnelles sont à la traîne.

Un CISO d'une grande entreprise nous a dit que la capacité de sécurité la plus importante aujourd'hui est la vitesse. Mais que se passe-t-il lorsque les tests ne peuvent pas suivre la rapidité d'évolution des systèmes ?

L'extension fast-draft Open VSX compromise par BlokTrooper

L'extension fast-draft Open VSX compromise par BlokTrooper (RAT et Infostealer)

L'extension fast-draft Open VSX a été compromise pour déployer un RAT et un infostealer de BlokTrooper via des charges utiles hébergées sur GitHub. Plusieurs versions malveillantes ont été identifiées.

Une extension populaire d'Open VSX a été compromise et utilisée pour déployer un RAT et un infostealer à partir d'une infrastructure contrôlée par l'attaquant. Son historique de versions révèle la véritable histoire, avec des versions malveillantes apparaissant entre des versions saines.

Glassworm cible des packages React Native populaires de numéros de téléphone

Glassworm cible des packages React Native populaires de numéros de téléphone dans une nouvelle attaque de la chaîne d'approvisionnement

Les chercheurs d'Aikido Security ont récupéré et déchiffré la chaîne de charge utile complète de deux packages React Native malveillants. Voici ce que fait le malware et ce qu'il faut rechercher.

Deux packages npm React Native populaires ont été compromis par des acteurs présumés de Glassworm et utilisés pour livrer un malware multi-étapes. Voici ce que fait le malware et ce qu'il faut rechercher.

Glassworm est de retour : une nouvelle vague d'attaques Unicode invisibles frappe des centaines de dépôts

Glassworm revient : un malware Unicode invisible découvert dans plus de 150 dépôts GitHub

L'attaque de la chaîne d’approvisionnement Glassworm est de retour. Des chercheurs ont découvert un malware caché dans des caractères Unicode invisibles dans plus de 150 dépôts GitHub, ainsi que des packages npm et des extensions VS Code.

Glassworm est de retour avec une nouvelle vague d'attaques Unicode invisibles. Nous suivons une nouvelle campagne qui compromet discrètement des dépôts sur GitHub, npm et VS Code.

Les incontournables Soirées, Événements parallèles & Rencontres sur la sécurité du RSAC 2026

Guide des Soirées & Événements de Sécurité RSAC 2026 | Aikido

Comment les équipes de sécurité ripostent contre les hackers alimentés par l'IA

L'IA a considérablement abaissé la barre pour les hackers. Voici ce que cela signifie pour les défenseurs et comment le pentest IA continu change la donne.

Un seul hacker et un abonnement Claude viennent de paralyser neuf agences gouvernementales mexicaines. L'IA a conféré aux attaquants une sérieuse amélioration de puissance. Les équipes de sécurité ont besoin d'un nouveau playbook.

Présentation de Betterleaks, un scanner de secrets open source par l'auteur de Gitleaks

Betterleaks : Le successeur de Gitleaks conçu pour une analyse des secrets plus rapide

Betterleaks est un nouveau scanner de secrets open source du créateur de Gitleaks. Un remplacement direct offrant des analyses plus rapides, une détection de l'efficacité des tokens, une validation configurable, et bien plus encore.

Le créateur de Gitleaks lance son successeur. Betterleaks est un scanner de secrets open source plus rapide, conçu pour détecter davantage de fuites et s'adapter aux workflows de développement modernes.

Comment le pentest IA fonctionne-t-il avec la conformité ?

Le pentest IA est accepté pour SOC 2, ISO 27001 et HIPAA (avec d'autres à venir). Voici ce que les auditeurs recherchent réellement, et où se trouvent les véritables limitations.

Le pentest IA est accepté pour SOC 2, ISO 27001, HIPAA et PCI DSS. Voici ce que les auditeurs recherchent réellement et où se situent les véritables limites.

Conformité

La stratégie de cybersécurité de Trump pour 2026 : De la conformité aux conséquences

La stratégie de cybersécurité de Trump pour 2026 : De la conformité à la conséquence

La stratégie de cybersécurité de l'administration Trump pour 2026 déplace l'accent des listes de contrôle de conformité vers de réelles conséquences pour les cybercriminels. Voici ce que les CISO doivent savoir.

Ce que le pentest continu exige réellement

Pentest continu : comment il fonctionne et ce qu'il exige

Le pentest continu promet une validation de sécurité en temps réel, mais la plupart des implémentations ne sont pas à la hauteur. Voici ce que le pentest continu exige réellement : des tests sensibles aux changements à la validation des exploits et aux boucles de remédiation.

Le pentest continu est largement discuté, mais rarement défini clairement. Cet article explique ce qu'il est, ce qu'il n'est pas et ce qu'il exige réellement.

Rare, pas aléatoire : Utilisation de l'efficacité des tokens pour l'analyse des secrets

L'entropie a souvent du mal avec les secrets génériques et les chaînes courtes. Nous examinons comment l'efficacité des tokens peut mieux identifier les chaînes qui ne ressemblent pas à du texte normal.

L'entropie est excellente pour détecter l'aléatoire. Mais les secrets ne sont pas toujours aléatoires. Ce sont simplement des chaînes qui n'apparaissent pas dans le code ou le texte normal. Nous explorons l'utilisation de la tokenisation BPE pour mesurer cette différence.

Pourquoi le déterminisme est toujours une nécessité en matière de sécurité

Le scanning par IA trouve ce que les règles manquent. Le scanning déterministe le trouve à chaque fois. Voici pourquoi les meilleures pipelines de sécurité ne choisissent pas entre les deux.

Les outils de sécurité basés sur l'IA s'améliorent dans la détection des vulnérabilités. Cependant, les outils déterministes offrent la cohérence dont dépendent les pipelines, la conformité et les pistes d'audit. Nous examinons ce que l'analyse déterministe fait bien, où l'IA prend le relais, et comment les deux fonctionnent ensemble pour une sécurité efficace.

Ingénierie

WAF vs. RASP vs. ADR

WAF vs. RASP vs. ADR : Comment fonctionne la sécurité applicative runtime

Les WAF, RASP et ADR protègent votre application de manières complètement différentes. Voici ce que chaque couche fait réellement, ses limites et lesquelles vous avez besoin.

WAF, RASP, ADR, eBPF — Nous clarifions la terminologie autour de la sécurité applicative runtime. Voici ce que fait réellement chaque couche, comment elles se chevauchent et comment elles s'articulent.

Guides

Présentation d'Aikido Infinite : Un nouveau modèle de logiciel auto-sécurisant

Aikido Infinite : Pentest IA continu pour chaque version

Aikido Infinite effectue des pentests IA à chaque modification de code, valide l'exploitabilité, génère des correctifs et reteste les corrections avant que le code ne soit déployé en production, faisant du logiciel auto-sécurisant une réalité.

XSS\/RCE persistants via les WebSockets dans le serveur de développement de Storybook

XSS/RCE persistante via des WebSockets dans Storybook (CVE-2026-27148)

La CVE-2026-27148 révèle une faille de détournement de WebSocket dans Storybook qui peut dégénérer en compromission de la chaîne d'approvisionnement. Découvrez le chemin d'attaque, l'impact et comment y remédier.

Aikido Attack a découvert une vulnérabilité de détournement de WebSocket dans le serveur de développement de Storybook, pouvant entraîner un XSS persistant, une exécution de code à distance et, dans le pire des cas, une compromission de la chaîne d'approvisionnement. Nous expliquons comment un attaquant peut l'exploiter sans aucune interaction utilisateur, et il suffit qu'un développeur visite le mauvais site web pour être exposé à cette attaque.

Comment Aikido sécurise les agents de pentest IA par conception

Comment Aikido sécurise les agents de pentest IA et prévient la dérive de périmètre

Découvrez comment Aikido sécurise les agents de pentest IA grâce à l'isolation architecturale, à l'application du périmètre d'exécution et à des contrôles au niveau du réseau pour prévenir la dérive en production et les fuites de données.

Les agents IA sont conçus pour explorer. En cybersécurité, cette exploration nécessite des limites strictes. Cet article explique comment Aikido sécurise les agents de pentest IA grâce à l'isolation architecturale, à l'application du périmètre d'exécution et à des contrôles multicouches qui contiennent les risques par conception.

Astro SSRF en lecture complète via injection d'en-tête Host

Vulnérabilité SSRF d'Astro : Injection d'en-tête Host dans les pages d'erreur SSR (CVE-2026-25545)

L'agent de pentest IA d'Aikido Security a découvert une vulnérabilité de type Server-Side Request Forgery dans l'implémentation SSR d'Astro. Découvrez comment l'injection d'en-tête Host dans les pages d'erreur pré-rendues a permis un accès complet au réseau interne.

L'agent de pentest IA d'Aikido a découvert une vulnérabilité SSRF dans l'adaptateur Node.js d'Astro. Nous verrons comment, en injectant un en-tête Host: malveillant, les attaquants pourraient rediriger une requête interne vers n'importe quelle URL du réseau local.

Comment faire en sorte que votre conseil d'administration se soucie de la sécurité (avant qu'une violation ne force la main)

Comment faire en sorte que votre conseil d'administration se soucie de la sécurité avant une violation

Les conseils d'administration ne financent pas la sécurité parce qu'elle est importante. Ils financent des décisions défendables. Voici comment cadrer les risques, réduire l'ambiguïté et obtenir un soutien réel avant qu'une violation ne force la main.

Guides

Qu'est-ce que le Slopsquatting ? L'attaque par hallucination de packages IA qui est déjà en cours

Slopsquatting : L'attaque par hallucination de packages IA qui est déjà en cours

Les modèles d'IA hallucinent des noms de packages npm. Les attaquants les enregistrent en premier. Voici ce qu'est le slopsquatting, comment il se propage via les compétences des agents, et comment vous protéger.

Les modèles d'IA hallucinent des noms de packages — et les attaquants les enregistrent avant que quiconque ne s'en aperçoive. Le Slopsquatting est l'évolution du typosquatting à l'ère de l'IA, et contrairement à son prédécesseur, les protections existantes de npm ne fonctionnent pas. Nous examinons la recherche concrète montrant que cela se produit déjà, des packages malveillants confirmés qui continuent d'enregistrer des centaines de téléchargements hebdomadaires à un nom de package halluciné qui s'est propagé à 237 dépôts via des fichiers de compétences d'agents IA.

Les 6 meilleures alternatives à Wiz Code

Alternatives à Wiz Code (2026) : 6 outils comparés et la meilleure option axée sur les développeurs

Vous recherchez des alternatives à Wiz Code ? Comparez 6 outils en fonction du SAST, du DAST, du SCA, de la tarification et de l'expérience développeur pour trouver la meilleure plateforme AppSec pour 2026.

Ce guide compare Wiz Code à six alternatives : Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend et Veracode, évaluées selon leur couverture, l'expérience développeur, le triage par IA, la transparence des prix et la vitesse de déploiement. Aikido Security se distingue pour les équipes recherchant une plateforme axée sur les développeurs avec une large couverture, une réduction de 85 % des faux positifs, une correction automatique par IA (AI AutoFix) pour le SAST, l'IaC et les conteneurs, un DAST natif et une tarification transparente, représentant environ un dixième du coût de Wiz.

Aikido reconnu comme Leader de plateforme dans le rapport 2026 sur la sécurité des applications de Latio Tech

Aikido nommé Leader de plateforme AppSec dans le rapport Latio 2026

Aikido Security reconnu comme Leader de plateforme, Innovateur en pentest IA et Innovateur en chaîne d'approvisionnement dans le rapport AppSec 2026 de Latio Tech.

Le rapport AppSec 2026 de Latio Tech nomme Aikido Leader de plateforme et Innovateur en IA. Voici ce que le rapport révèle sur l'avenir de la sécurité des applications.

De la détection à la prévention : Comment Zen stoppe les vulnérabilités IDOR à l'exécution

De la détection à la prévention : Zen stoppe les IDOR à l'exécution | Aikido

Les vulnérabilités IDOR sont l'une des causes les plus courantes de fuites de données inter-locataires dans les SaaS multi-locataires. Découvrez comment Zen applique l'isolation des locataires à l'exécution en analysant les requêtes SQL et en empêchant les accès non sécurisés avant le déploiement.

Les vulnérabilités IDOR sont une cause majeure de fuites de données inter-locataires dans les applications multi-locataires. Dans cet article, nous expliquons comment Zen va au-delà de la détection et applique l'isolation des locataires à l'exécution, rendant impossible le déploiement accidentel d'accès inter-locataires.

Une backdoor npm permet aux hackers de manipuler les résultats de jeux d'argent

Une attaque sur la chaîne d'approvisionnement npm détourne le backend de jeu pour truquer les résultats de jeux d'argent

Une attaque ciblée sur la chaîne d'approvisionnement npm installe une backdoor Express, permet l'accès à distance aux fichiers SQL et réécrit les soldes de jeux d'argent tout en maintenant la cohérence des logs.

Nous avons découvert des packages npm malveillants qui peuvent modifier les transactions de jeux d'argent en production et maintenir la cohérence interne de la base de données par la suite.

Pourquoi tenter de sécuriser OpenClaw est ridicule

Les problèmes de sécurité d'OpenClaw expliqués : malware dans ClawHub, instances exposées, et pourquoi les guides de renforcement manquent l'essentiel. Pouvez-vous utiliser l'agent IA en toute sécurité ??

Présentation de l'Analyse d'Impact des Mises à Niveau : Quand les breaking changes ont un réel impact sur votre code

Analyse d'Impact des Mises à Niveau : Quand les Breaking Changes ont un Réel Impact | Aikido

Aikido détecte automatiquement les breaking changes lors des mises à niveau de dépendances et analyse votre base de code pour en montrer l'impact réel, permettant ainsi aux équipes de merge les correctifs de sécurité en toute sécurité.

L'analyse d'impact des mises à niveau d'Aikido signale les changements cassants dans les mises à jour de dépendances et montre si ces changements impactent réellement votre code.

Claude Opus 4.6 a découvert 500 vulnérabilités. Qu'est-ce que cela change pour la sécurité logicielle ?

Claude Opus 4.6 a découvert 500 vulnérabilités : Ce que cela signifie pour la sécurité logicielle

Anthropic affirme que Claude Opus 4.6 a découvert plus de 500 vulnérabilités de haute gravité dans l'open source. Voici ce que cela implique pour la découverte de vulnérabilités, la validation de l'exploitabilité et les workflows de sécurité en production.

Claude Opus 4.6 aurait découvert plus de 500 vulnérabilités de haute gravité dans l'open source. Cet article examine ce que cela change concrètement en production, où le raisonnement des LLM est utile, et pourquoi la validation et l'accessibilité déterminent toujours l'impact réel sur la sécurité.

Présentation des Aikido Expansion Packs : Des configurations par défaut plus sûres au sein de l'IDE

Aikido Expansion Packs : Des configurations par défaut plus sûres au sein de l'IDE

Les Aikido Expansion Packs ajoutent des contrôles de sécurité ciblés directement au sein de votre IDE. Activez la protection des secrets, les vérifications de logiciels malveillants dans la chaîne d'approvisionnement et la sécurité du code assistée par l'IA sans modifier les workflows des développeurs.

Rapport international sur la sécurité de l'IA 2026 : ce que cela signifie pour les systèmes d'IA autonomes

Rapport international sur la sécurité de l'IA 2026 : Analyse d'Aikido Security

L'analyse d'Aikido Security du Rapport international sur la sécurité de l'IA 2026. Nous examinons les contrôles au moment du déploiement, les exigences de validation et les bases de sécurité pratiques pour les systèmes d'IA autonomes.

Plus de 100 experts ont contribué au Rapport international sur la sécurité de l'IA 2026, documentant les risques liés aux systèmes d'IA autonomes et proposant des cadres de défense en profondeur. En tant qu'équipe exploitant des systèmes de pentest IA en production, nous analysons les points où le rapport est pertinent et ceux où il nécessite plus de spécificité technique.

Logiciel auto-sécurisé : ce que c'est, pourquoi c'est important et comment ça fonctionne

Qu'est-ce qu'un logiciel auto-sécurisant ? Un nouveau modèle de sécurité pour les logiciels modernes

Le logiciel auto-sécurisant est un modèle de sécurité où les systèmes valident et corrigent continuellement les risques réels à mesure qu'ils évoluent. Découvrez pourquoi les tests périodiques ne sont plus adaptés.

Le logiciel auto-sécurisant considère la sécurité comme une capacité système intégrée, et non comme un processus périodique. Cet article explique pourquoi les logiciels modernes exigent un nouveau modèle de sécurité et ce qui le rend possible aujourd'hui.

SDLC Sécurisé pour les Équipes d'Ingénierie (+ Checklist)

Le SDLC Sécurisé Expliqué : Les 5 Piliers d'un Cycle de Vie du Développement Logiciel Sécurisé

Découvrez ce qu'est un SDLC Sécurisé, pourquoi il est important, et les cinq piliers dont chaque équipe a besoin. Inclut une checklist pratique du SDLC Sécurisé pour les CTO et les leaders de l'ingénierie.

Top 10 des Outils de Sécurité IA pour 2026

Top 10 des Outils de Sécurité IA pour 2026 : Fonctionnalités, Avantages et Comparaisons

Explorez les meilleurs outils de sécurité IA pour 2026. Comparez les plateformes pour la code review IA, la détection de vulnérabilités, le pentesting et la gestion des risques afin de sécuriser les applications modernes.

Top 10 des Outils de Cybersécurité pour 2026

Top 10 des Outils de Cybersécurité pour 2026 : Détection, Cloud, XDR & AppSec

Une analyse pratique des 10 meilleurs outils de cybersécurité pour 2026, couvrant les terminaux, le cloud, l'identité, la gestion des vulnérabilités et l'XDR. Découvrez comment choisir l'outil adapté à votre stack et à votre profil de risque.

Qu'est-ce que le pentest continu ?

Qu'est-ce que le pentest continu ? Comment les équipes modernes réduisent les risques exploitables

Le pentest continu teste automatiquement les chemins d'attaque réels à chaque modification logicielle, validant et corrigeant les problèmes dans le cadre du cycle de vie du développement. Découvrez comment il se compare au pentest IA et manuel.

Le pentest continu traite la sécurité comme un système vivant, et non comme un test ponctuel. Découvrez comment les équipes modernes l'utilisent pour réduire les risques exploitables à mesure que le logiciel évolue.

npx Confusion : Des packages qui ont oublié de revendiquer leur propre nom

Nous avons revendiqué 128 noms de packages npm non réclamés que la documentation officielle indiquait aux développeurs d'utiliser avec npx. Sept mois plus tard : 121 000 téléchargements. Tous auraient exécuté du code arbitraire.

La documentation officielle indique aux développeurs d'exécuter `npx package-name`. Mais que se passe-t-il si personne n'a revendiqué ce nom ? Nous en avons enregistré 128 et avons observé. 121 000 téléchargements en sept mois. La baisse pendant les vacances prouve qu'il s'agit de vrais développeurs, et non de bots.

Présentation d'Aikido Package Health : une meilleure façon de faire confiance à vos dépendances

Aikido Package Health : Score de Santé pour les Packages Open Source

Découvrez la stabilité et la qualité de maintenance réelles d'un package open source. Aikido Package Health aide les développeurs à choisir des dépendances plus sûres en toute confiance.

Pentest IA : exigences minimales de sécurité pour les tests de sécurité

Quand le pentest IA est-il sûr ? Exigences minimales de sécurité pour les tests de sécurité

Les systèmes de pentest IA agissent de manière autonome sur des environnements en production. Découvrez quand le pentest IA peut être utilisé en toute sécurité, les mesures de sécurité techniques minimales requises et comment évaluer les outils de test de sécurité basés sur l'IA de manière responsable.

Le pentest IA est déjà là, mais les attentes claires en matière de sécurité ne le sont pas. Cet article définit une norme de sécurité minimale pour le pentest IA, offrant aux équipes une base concrète pour évaluer les outils émergents.

Une fausse extension VS Code Clawdbot installe le RAT ScreenConnect

Une extension VS Code malveillante se faisant passer pour Clawdbot installe un RAT ScreenConnect sur les machines des développeurs.

Les 7 meilleurs outils de renseignement sur les menaces en 2026

Les 7 meilleurs outils de renseignement sur les menaces en 2026 : Réduire le bruit et se concentrer sur les risques réels

Une analyse approfondie des meilleurs outils de renseignement sur les menaces de 2026, comparant comment ils réduisent la fatigue d'alertes, ajoutent du contexte et aident les équipes à prioriser les risques de sécurité réels.

Les 14 meilleures extensions VS Code pour 2026

Top 14 des extensions VS Code pour 2026 : Productivité, Tests, Sécurité et Collaboration

Un guide pratique des meilleures extensions VS Code pour 2026, couvrant les outils de productivité, de test, de collaboration et de sécurité qui améliorent les workflows réels des développeurs.

G_Wagon : un package npm déploie un malware voleur Python ciblant plus de 100 portefeuilles crypto

Le package npm ansi-universal-ui délivre l'infostealer GWagon ciblant plus de 100 portefeuilles de cryptomonnaies, des identifiants de navigateur et des clés cloud. Nous avons analysé les 10 versions au fur et à mesure que l'attaquant itérait en temps réel.

Pentest GPT : Comment les LLMs redéfinissent le test d'intrusion

Pentest GPT : Comment l'IA transforme les tests d'intrusion

Découvrez comment Pentest GPT utilise les LLM pour automatiser le raisonnement des attaques, simuler des exploits réels et adapter les tests. Découvrez comment Aikido chaque résultat.

Gone Phishin' : des packages npm diffusant des pages personnalisées de collecte d’identifiants

Une campagne de spear-phishing ciblée a utilisé des packages npm et jsDelivr comme infrastructure de phishing gratuite, servant des collecteurs d'identifiants personnalisés par victime.

Les packages PyPI malveillants spellcheckpy et spellcheckerpy délivrent un RAT Python

Des attaquants ont publié de faux packages de correcteurs orthographiques sur PyPI avec des malwares cachés à la vue de tous. Nous analysons l'attaque et ce à quoi les développeurs doivent faire attention.

SvelteSpill : Une vulnérabilité de tromperie de cache dans SvelteKit + Vercel

SvelteSpill : Vulnérabilité critique de tromperie de cache dans SvelteKit + Vercel

SvelteSpill est une vulnérabilité de tromperie de cache affectant les applications SvelteKit par défaut déployées sur Vercel. Les réponses authentifiées peuvent être mises en cache et exposées à d'autres utilisateurs. Découvrez comment vérifier si vous êtes vulnérable et comment atténuer les risques.

Notre système de pentest IA a découvert et reproduit une vulnérabilité de haute gravité dans les déploiements SvelteKit par défaut sur Vercel. Voici comment il a tracé une faille inter-couches à travers 150 000 lignes de code.

Les compétences des agents propagent des commandes npx hallucinées

Les compétences des agents IA propagent des commandes npx hallucinées, créant de réels risques de sécurité et de fiabilité pour les développeurs et les chaînes d'approvisionnement.

Comprendre le risque lié aux licences open source dans les logiciels modernes

Le risque lié aux licences open source se cache dans les dépendances et les images de conteneurs. Découvrez ce que c'est, pourquoi c'est important et comment détecter les problèmes tôt.

L'open source évolue rapidement, mais ses licences ont toujours des règles. Cet article explique ce qu'est le risque lié aux licences open source, pourquoi les équipes le négligent souvent dans les arbres de dépendances modernes, et comment rester conforme sans que cela ne devienne une urgence juridique.

La CISO Vibe Coding Checklist pour la Sécurité

CISO Vibe Coding Checklist : Sécuriser les applications conçues par l'IA

Une checklist de sécurité pratique pour les CISOs gérant des applications basées sur l'IA et le vibe coding. Couvre les garde-fous techniques, les contrôles d'IA et les politiques organisationnelles.

Le vibe coding basé sur l'IA permet à quiconque de déployer des logiciels. Cet article décrit les risques de sécurité auxquels les CISOs sont confrontés et présente une checklist pratique, élaborée avec l'aide des CISOs de Lovable et Supabase.

De « No Bullsh*t Security » à 1 milliard de dollars : Nous venons de lever 60 millions de dollars en série B

Aikido Security lève 60 millions de dollars avec une valorisation d'un milliard de dollars

Aikido annonce un financement de série B de 60 millions de dollars, valorisant l'entreprise à 1 milliard de dollars, accélérant sa vision d'un logiciel auto-sécurisé et de tests d'intrusion continus.

Aikido devient l'une des entreprises de cybersécurité les plus rapides à atteindre le statut de licorne à l'échelle mondiale, et la plus rapide jamais enregistrée en Europe.

Une vulnérabilité critique de n8n permet l'exécution de code à distance non authentifiée (CVE-2026-21858)

Vulnérabilité critique n8n (CVE-2026-21858) | RCE non authentifié expliqué

Une vulnérabilité critique dans n8n (CVE-2026-21858) permet l'exécution de code à distance non authentifiée sur les instances auto-hébergées. Découvrez qui est concerné et comment y remédier.

Pentesting de Coolify piloté par l'IA : Sept CVE identifiées

Sept CVEs identifiées dans Coolify grâce au pentest IA | Aikido

Le pentesting de Coolify piloté par l'IA a identifié sept CVE, y compris des vulnérabilités d'escalade de privilèges et d'exécution de code à distance. Les découvertes ont été divulguées de manière responsable et corrigées.

Aikido

JavaScript, MSBuild et la Blockchain : Anatomie de l'attaque de la chaîne d'approvisionnement npm NeoShadow

Attaque de la chaîne d'approvisionnement npm NeoShadow : JavaScript, MSBuild et Blockchain

Une analyse technique approfondie de l'attaque de la chaîne d'approvisionnement npm NeoShadow, détaillant comment les techniques JavaScript, MSBuild et blockchain ont été combinées pour compromettre les développeurs.

SAST vs SCA : Sécuriser le code que vous écrivez et le code dont vous dépendez

SAST vs SCA expliqué : Sécuriser votre code et vos dépendances

Découvrez comment SAST et SCA diffèrent, quels risques chacun d'eux adresse, et pourquoi les équipes AppSec modernes ont besoin des deux pour sécuriser le code et les dépendances.

Technique

Les 6 meilleurs outils de pentest continu en 2026

Découvrez les principaux outils de pentest continu qui offrent des tests de sécurité en temps réel, basés sur l'IA, pour les applications modernes.

Comment les équipes d'ingénierie et de sécurité peuvent répondre aux exigences techniques de DORA

Exigences techniques DORA pour les équipes d'ingénierie et de sécurité

Comprendre les exigences techniques de DORA pour les équipes d'ingénierie et de sécurité, y compris les tests de résilience, la gestion des risques et les preuves prêtes pour l'audit.

Conformité

Merci ! Votre soumission a été reçue !

Oups ! Une erreur est survenue lors de la soumission du formulaire.

13 avril 2026

« • »

Technique

Le bug bounty n'est pas mort, mais l'ancien modèle est en train de s'effondrer

Le bug bounty atteint un point de rupture alors que l'IA submerge les programmes, poussant à une transition vers des modèles de sécurité plus durables et axés sur la qualité.

Tags/

#AI

#Pentesting IA

#Outils

#Vulnérabilités

8 avril 2026

« • »

Vulnérabilités et menaces

Aikido Attack découvre plusieurs 0-days dans Hoppscotch

Tags/

#Malware

#Pentesting IA

#open-source

18 mars 2026

« • »

Vulnérabilités et menaces

L'extension fast-draft Open VSX compromise par BlokTrooper

Tags/

#Malware

#open-source

16 mars 2026

« • »

Vulnérabilités et menaces

Glassworm cible des packages React Native populaires de numéros de téléphone

Tags/

#Malware

#NPM

12 mars 2026

« • »

Vulnérabilités et menaces

Comment les équipes de sécurité ripostent contre les hackers alimentés par l'IA

Tags/

#AI

#Pentest continu

#Logiciel auto-sécurisant

9 mars 2026

« • »

Actualités

La stratégie de cybersécurité de Trump pour 2026 : De la conformité aux conséquences

Tags/

#Conformité

9 mars 2026

« • »

Conformité

Comment le pentest IA fonctionne-t-il avec la conformité ?

Le pentest IA est accepté pour SOC 2, ISO 27001, HIPAA et PCI DSS. Voici ce que les auditeurs recherchent réellement et où se situent les véritables limites.

Tags/

#Pentesting IA

#Pentesting

3 mars 2026

« • »

Vulnérabilités et menaces

XSS\/RCE persistants via les WebSockets dans le serveur de développement de Storybook

Tags/

#Vulnérabilités

#open-source

#Pentesting

3 mars 2026

« • »

Ingénierie

Pourquoi le déterminisme est toujours une nécessité en matière de sécurité

Tags/

#SAST

#Outils

23 février 2026

« • »

Guides

Comment faire en sorte que votre conseil d'administration se soucie de la sécurité (avant qu'une violation ne force la main)

Tags/

#Article

20 février 2026

« • »

Guides et bonnes pratiques

Qu'est-ce que le Slopsquatting ? L'attaque par hallucination de packages IA qui est déjà en cours

Tags/

#Vulnérabilités

#Dépendances

#NPM

13 février 2026

« • »

Actualités

Pourquoi tenter de sécuriser OpenClaw est ridicule

Tags/

#Sécurité de l'IA

12 mai 2026

« • »

Actualités produit et entreprise

Un an d'Opengrep : ce que nous avons construit et la suite

Un an après avoir forké Semgrep, Opengrep est plus rapide, prend en charge une analyse de taint plus approfondie et produit des résultats cohérents et reproductibles.

SAST

open source

30 avril 2026

« • »

Actualités produit et entreprise

Aikido s'intègre à AWS Kiro : La détection en revue ne passe plus à l'échelle

Annonces

24 mars 2026

« • »

Actualités produit et entreprise

Aikido × Lovable : Vibe, Fix, Ship

Lovable et Aikido intègrent le pentesting à la plateforme, permettant aux développeurs de simuler des attaques réelles et de corriger les problèmes avant le déploiement.

Annonces

Tests d'intrusion IA

21 mai 2026

« • »

Vulnérabilités et menaces

Les clés API Google continuent de fonctionner même après leur suppression

AppSec

Vulnérabilités

20 mai 2026

« • »

Vulnérabilités et menaces

Le Far West des extensions VS Code et comment une extension malveillante a compromis GitHub

VS Code

sécurité de la chaîne d’approvisionnement logicielle

Aikido Endpoint

19 mai 2026

« • »

Vulnérabilités et menaces

Le paquet durabletask de Microsoft sur PyPi a été piraté. Mini Shai Hulud frappe à nouveau… encore une fois !

19 août 2025

« • »

Outils et comparaisons DevSec

Les 12 meilleurs outils de Tests de sécurité des applications dynamiques (DAST) en 2026

Découvrez les 12 meilleurs outils de Tests de sécurité des applications dynamiques (DAST) en 2026. Comparez leurs fonctionnalités, avantages, inconvénients et intégrations pour choisir la solution DAST adaptée à votre pipeline DevSecOps.

Outils

DAST

18 juillet 2025

« • »

Outils et comparaisons DevSec

Top 13 des outils de scan de conteneurs en 2026

Découvrez les 13 meilleurs outils de scan de conteneurs en 2026. Comparez leurs fonctionnalités, avantages, inconvénients et intégrations pour choisir la solution adaptée à votre pipeline DevSecOps.

Outils

Analyse de conteneurs

17 juillet 2025

« • »

Outils et comparaisons DevSec

Les 10 meilleurs outils d'analyse de la composition logicielle (SCA) en 2026

Les outils SCA sont notre meilleure ligne de défense pour la sécurité open source ; cet article explore les 10 meilleurs scanners de dépendances open source pour 2026

Outils

SCA