Hier j’suis tombé sur un mec qui expliquait que son objectif c’était d’traquer les vibe codeurs (les gens qui codent avec l’IA) mdr.
En gros, son kiff c’est d’aller sur GitHub, taper des recherches du style « sk-ant… » (le début de certaines clés API), et regarder quels dev’ a publié son fichier .env dans son dépôt GitHub. 💀Et un .env c’est un fichier où tu stockes normalement toutes tes infos sensibles (clés API, accès base de données, mots de passe, etc). C’est littéralement… le genre de truc qui ne doit JAMAIS se retrouver public. 😵💫Sauf que certains le mettent quand même sur GitHub.Du coup lui il repère ça, il récupère les clés API exposées, et derrière il peut faire un peu ce qu’il veut avec. Like, utiliser l’API à ta place, lancer des requêtes, cramer ton quota, accéder à des services connectés… bref, ça peut vite partir très loin et mettre toute la sécurité de ton projet en péril.Et ça me fait penser à un truc que beaucoup de gens oublient : c’est pas parce que t’as créé une app qui fonctionne pour toi que tu dois absolument la mettre en ligne.Perso, quand je parle de mon cockpit de pilotage business que j’ai créé, c’est typiquement le genre d’outil qui ne sera JAMAIS public. J’partagerai jamais le lien, jamais les accès, et j’vais certainement pas expliquer sur quel cloud ou quelle infra ça tourne.Ah oui, et j’vais pas non plus le publier sur GitHub, parce qu’il n’a aucune raison d’y être. Je crois qu’on a tous oublié qu’il y a des gens très vicieux sur internet mdr.Et un autre truc que je vois de plus en plus : des gens qui commencent à commercialiser des apps qu’ils ont codées avec de l’IA. En gros, ils vibe codent un truc en quelques heures, l’app fonctionne, donc ils se disent que c’est bon, ils peuvent la mettre en ligne et la vendre.HELL NO. Faites jamais ça.Parce que dès que ton app’ commence à toucher de vrais utilisateurs, tu joues plus du tout dans la même catégorie en terme de sécurité, données, RGPD, responsabilité légale et cie.Genre ma propre app’, par exemple, je passe mon temps à la renforcer pour qu’elle soit RGPD-friendly alors que tout est sur mon ordi et que c’est pour un usage strictement perso, et je fais tourner des audits de sécurité en continu parce que je psychote sur tout ce qui pourrait fuiter.Maintenant imagine je dois me soucier de ça pour des clients qui utilisent mon app’ ? Peut-être je vais faire un infarctus ou un AVC, who knows.Bref, ne publiez jamais vos fichiers .env, ne publiez jamais vos clés API et ne mettez pas une application en ligne si vous ne maîtrisez pas les implications sécurité et légales derrière.Avant qu’on attrape mon col : vibe coder, c’est laisser l’IA coder à ta place et avancer un peu au feeling, sans forcément capter tout ce qui se passe derrière.
Aucun commentaire:
Enregistrer un commentaire