Les outils de codage IA introduisent des vulnérabilités dans 45 % du code généré, selon un rapport

Veracode a testé du code produit par plus de 100 grands modèles de langage et révélé des failles de sécurité dans 45 % des cas. Ces vulnérabilités touchent les langages courants comme Java, Python, JavaScript et C#, avec un taux d’échec particulièrement élevé pour Java à 72 %. Le rapport GenAI Code Security 2025, publié récemment, met en lumière des problèmes récurrents du Top 10 OWASP — la liste standardisée des risques de sécurité des applications web. L’engouement pour les assistants de codage IA, tels que GitHub Copilot, Cursor ou Claude Code, a boosté la productivité des développeurs ces dernières années. Aditi Bhatnagar, ingénieure en sécurité ayant travaillé chez Microsoft sur la protection des terminaux et chez Atlassian sur les infrastructures cloud, alerte sur ces risques. À la tête d’Offgrid Security, elle observe que même les modèles les plus récents et puissants ne réduisent pas ces failles, malgré les gains en vitesse de développement. Parmi les vulnérabilités les plus courantes, les attaques par cross-site scripting (XSS) atteignent un taux d’échec de 86 %. Le rapport insiste sur le fait que ces erreurs ne concernent pas des cas marginaux, mais des pratiques standards en entreprise. Bhatnagar, qui développe l’outil Kira chez Offgrid, recommande de scanner systématiquement le code généré par IA avant intégration. Des solutions open-source comme kira-lite, disponible sur npm via une commande npx sans configuration, appliquent 376 règles de vérification. Ce package permet de détecter les problèmes avant même l’écriture sur disque, une étape clé alors que les workflows basés sur des agents IA créent de nouvelles surfaces d’attaque.