Discussion :

[Patrick Ruiz]

Cursor, un fork de Visual Studio Code, considéré comme le nouveau ChatGPT du codage informatique, divise la communauté des développeurs
Dont certains sont d’avis qu’il y a exagération sur ses capacités

Il arrive qu'un outil d'intelligence artificielle sorte de nulle part et domine la conversation sur les médias sociaux. C’est l’actuel cas de Cursor, un fork de Visual Studio Code qui utilise des modèles tels que Claude 3.5 Sonnet et GPT-4o pour « faciliter plus que jamais la création de vos propres applications. » Certaines revues à propos de ce dernier vont même jusqu’à indiquer que « Tout le monde peut désormais créer une application grâce à Cursor. » Néanmoins, certains intervenants de la communauté des développeurs informatique sont d’avis qu’il y a exagération sur ses capacités.

3.5 Sonnet in Cursor! pic.twitter.com/9Nc5MCuRSV

— Cursor (@cursor_ai) June 20, 2024

Cursor est un éditeur de code qui offre aux développeurs de multiples fonctionnalités basées sur l’intelligence artificielle. La startup a levé plus de 400 millions de dollars depuis sa création en 2022 et travaille avec différents modèles, dont ceux d'Anthropic et d'OpenAI.

Le PDG Michael Truell le décrit comme « Google Docs pour les programmeurs », un simple éditeur de code avec des modèles d’intelligence artificielle intégrés qui peuvent écrire, prédire et manipuler du code en n'utilisant rien d'autre qu'une invite de texte. En d’autres termes, Cursor permet de créer une application sans écrire de code.

Truell souligne que le but avec Cursor est l’automatisation de 95 % du travail d'un ingénieur afin qu'il puisse se concentrer sur les aspects créatifs du codage. Ces derniers peuvent ainsi « mettre sur pied des systèmes beaucoup plus complexes que ce que des équipes puissantes peuvent construire aujourd'hui. »

Des intervenants de la filière soulignent néanmoins qu’il ne faut pas s’attendre à des miracles même si l’outil est meilleur que l’association Visual Studio Code et CoPilot. « L’outil est bon pour les projets qui tiennent sur un seul fichier, mais difficile d’utilisation pour ceux avec plusieurs fichiers. De plus, il nécessite encore un codage manuel important », rapporte un développeur.

Cursor is overrated.

My honest take after trying it:
- Basically VSCode + CoPilot, but better
- Good with single file tasks, struggles across multiple files
- Still requires significant manual coding

It is not as crazy as it appears when scrolling through X.
Already use VSCode… pic.twitter.com/c9YzuFubYv

— Robin Faraj (@robin_faraj) August 27, 2024

Grosso modo, les outils de ce type permettent de gagner en productivité tout en introduisant un revers important : les risques de failles

Selon Harness, le code généré par l'intelligence artificielle est susceptible de tripler la charge de travail des développeurs dans l'année à venir. L'augmentation du volume de code livré accroît les risques de failles et de vulnérabilités si les tests et les mesures de sécurité ne sont pas rigoureusement appliqués. Bien que neuf développeurs sur dix utilisent déjà des outils d'IA pour accélérer la livraison de logiciels, cette tendance nécessite une vigilance accrue à chaque étape du cycle de vie du développement logiciel (SDLC) pour prévenir les incidents de sécurité.

L'augmentation du volume de code généré par les outils d'intelligence artificielle pose un défi majeur en termes de sécurité et de gestion des vulnérabilités. Bien que l'automatisation et la génération de code puissent considérablement accélérer le processus de développement, elles introduisent également de nouveaux risques. Si les tests et les mesures de sécurité ne sont pas rigoureusement appliqués à chaque étape du cycle de vie du développement logiciel, il devient presque inévitable que des failles passent inaperçues et soient déployées en production.

La rapidité avec laquelle le code est produit grâce à l'IA peut surpasser la capacité des développeurs à effectuer des tests approfondis et à assurer la sécurité de chaque ligne de code. Sans une infrastructure solide pour la détection et la correction des failles, les erreurs et les vulnérabilités peuvent s'accumuler, augmentant le risque d'exploits et de temps d'arrêt coûteux. La complexité accrue et la vitesse du développement exigent des outils de tests automatisés et des processus de sécurité intégrés pour compenser les limitations humaines.

Cette dépendance accrue aux outils d'IA pour la génération de code peut entraîner une réduction de la vigilance humaine, où les développeurs pourraient faire excessivement confiance aux suggestions de l'IA sans une vérification rigoureuse. Cette approche peut devenir dangereuse, car même les systèmes d'IA avancés peuvent générer du code défectueux ou vulnérable. Une approche équilibrée, combinant l'efficacité de l'IA avec une supervision humaine minutieuse, est essentielle pour garantir la qualité et la sécurité du code.

Les suggestions de code générées automatiquement peuvent accroître la productivité des développeurs et optimiser leur flux de travail en fournissant des réponses directes, en gérant les tâches de codage de routine, en réduisant la nécessité de changer de contexte et en conservant l'énergie mentale. Elles peuvent également aider à identifier les erreurs de codage et les failles de sécurité potentielles.

Martin Reynolds, directeur technique chez Harness, explique que l'IA générative a révolutionné le travail des développeurs en permettant de réaliser des projets qui auraient pris huit semaines en seulement quatre semaines. Cependant, avec l'augmentation du volume de code livré, le potentiel d'erreurs et de vulnérabilités croît également si les développeurs ne procèdent pas à des tests rigoureux. Bien que l'IA ne crée pas de nouvelles failles de sécurité, elle accroît la quantité de code traversant des failles existantes, augmentant ainsi le risque de vulnérabilités et de bugs, à moins que des efforts supplémentaires ne soient déployés pour tester et sécuriser le code.

Harness préconise une réponse basée sur davantage d'IA, utilisée pour analyser automatiquement les modifications de code, tester les failles et les vulnérabilités, évaluer l'impact des risques, et garantir la possibilité d'annuler instantanément les problèmes de déploiement. Il est crucial de maintenir des standards élevés de tests et de sécurité pour gérer les risques associés à l'augmentation du volume de code. Les organisations doivent investir dans des outils de tests automatisés, des audits de sécurité réguliers et des formations continues pour les développeurs afin de naviguer efficacement dans ce nouvel environnement technologique. L'équilibre entre l'innovation rapide et la rigueur en matière de sécurité est la clé pour tirer pleinement parti des bénéfices de l'IA sans compromettre la fiabilité et la sécurité des logiciels.

Source : Cursor

Et vous ?

Quel est votre avis sur l'utilisation des outils d'intelligence artificielle pour générer du code ? Quel impact cette approche est-elle susceptible d’avoir sur la filière dans les années à venir ? Les développeurs doivent-ils y voir une menace ou une opportunité ?

Comment les développeurs peuvent-ils s'adapter efficacement à l'augmentation du volume de code généré par l'intelligence artificielle sans compromettre la qualité et la sécurité des logiciels ?

Voir aussi :

Génération de code à l'aide de grands modèles de langage : 62 % du code généré contient des erreurs d'API, qui auraient des conséquences inattendues si le code était introduit dans un logiciel réel

Codegen, un outil d'IA qui facilite le passage de la conception au code, il peut aussi nuire à la créativité, à la curiosité et à l'apprentissage des développeurs

[Jade Emy]

Plus de 3 200 utilisateurs de l'outil d'édition de code alimenté par l'IA Cursor ont été infectés par des paquets npm malveillants qui volent des informations d'identification

L'équipe de recherche sur les menaces de Socket a identifié trois paquets npm malveillants ciblant la version macOS du célèbre éditeur de code Cursor AI. Déguisés en outils de développement offrant "l'API Cursor la moins chère", ces paquets volent les informations d'identification de l'utilisateur, récupèrent une charge utile chiffrée à partir d'une infrastructure contrôlée par l'acteur de la menace. Au moment de leur découverte, ils avaient déjà été téléchargés plus de 3 200 fois.

Il arrive qu'un outil d'intelligence artificielle (IA) sorte de nulle part et domine la conversation sur les médias sociaux. C’est l’actuel cas de Cursor, un fork de Visual Studio Code qui utilise des modèles d'IA récent pour "faciliter plus que jamais la création de vos propres applications." Certaines revues à propos de ce dernier vont même jusqu’à indiquer que "Tout le monde peut désormais créer une application grâce à Cursor." Néanmoins, certains intervenants de la communauté des développeurs informatique sont d’avis qu’il y a exagération sur ses capacités.

Récemment, les utilisateurs de Cursor ont été la cible de paquets NPM malveillants. Trois paquets NPM malveillants se présentant comme des outils de développement pour le célèbre éditeur de code Cursor ont été pris en flagrant délit de déploiement d'une porte dérobée sur des systèmes macOS, rapporte la société de détection de vulnérabilités Socket.

Les paquets, nommés sw-cur, sw-cur1 et aiide-cur, prétendent fournir un accès bon marché à Cursor, en exploitant l'intérêt des développeurs à ne pas payer les frais. Les trois paquets ont été publiés par un acteur de la menace utilisant les noms d'utilisateur NPM gtr2018 et aiide, et ont accumulé plus de 3 200 téléchargements à ce jour.

"À l'heure où nous écrivons ces lignes, ces paquets sont toujours présents dans le registre du NPM. Nous avons officiellement demandé leur suppression", prévient Socket. Les utilisateurs de Cursor qui ont téléchargé l'un de ces paquets sont invités à restaurer Cursor à partir d'une source fiable, à changer d'identifiants et à vérifier leur code pour détecter d'éventuelles modifications non autorisées.

Une fois exécuté, un script malveillant contenu dans ces paquets recueille les informations d'identification de l'utilisateur, récupère une charge utile sur un serveur distant et la décrypte et la décompresse. Il remplace également le code du curseur par un code malveillant fourni par l'attaquant et redémarre l'application pour obtenir des capacités d'exécution à distance persistantes au sein de l'IDE.

En outre, la société de détection des vulnérabilités a remarqué que sw-cur désactivait le mécanisme de mise à jour automatique de Cursor, probablement pour empêcher la suppression de l'application. "L'attaque cible spécifiquement les installations macOS de cette application en modifiant des fichiers internes tels que main.js sous le chemin /Applications/Cursor.app/.... Le logiciel malveillant utilise le runtime de confiance de l'éditeur pour exécuter le code contrôlé par l'acteur de la menace et maintenir la persistance", note Socket.

Les trois paquets utilisent les mêmes routines d'exfiltration d'informations d'identification, de récupération de données utiles, de déchiffrement et de réparation de fichiers, bien qu'ils utilisent des domaines codés en dur différents. L'attaque, prévient Socket, pourrait conduire non seulement à un vol d'informations d'identification et de code, ou à des infections supplémentaires par des logiciels malveillants, mais aussi à un accès non autorisé à des services payants et à n'importe quelle base de code ouverte dans l'environnement de développement intégré.

"Dans les environnements d'entreprise ou les projets open source, les risques se multiplient. Un IDE trojanisé sur la machine d'un développeur peut entraîner des fuites de code source propriétaire, introduire des dépendances malveillantes dans les constructions ou servir de point d'ancrage pour un mouvement latéral dans les pipelines CI/CD", note Socket.

Ces vulnérabilités ont été découvertes alors que la start-up Anysphere, éditrice de l'environnement de développement assisté par IA Cursor, vient de boucler une levée de fonds de 900 millions de dollars, portant sa valorisation à 9 milliards de dollars. Ce bond spectaculaire, en seulement quelques mois, soulève des questions sur la pérennité de cette croissance et sur les implications de l'essor du "vibe coding", une nouvelle approche du développement logiciel qui consiste à décrire un programme en langage naturel (français par exemple) et demander au modèle d'IA de le traduire en code fonctionnel sans jamais comprendre comment le code fonctionne.

Source : Rapport de Socket

Et vous ?

Pensez-vous que cette découverte est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Vulnérabilité dans GitHub Copilot et Cursor : comment les pirates peuvent compromettre le code généré par l'IA avec des portes dérobées et des vulnérabilités en injectant des instructions malveillantes cachées

Les hallucinations de l'IA conduisent à une nouvelle cybermenace : le Slopsquatting, les développeurs "Vibe coding" qui utilisent des LLM pour créer du code s'exposent à un nouveau type d'attaque

Le groupe Lazarus cible les développeurs par le biais de paquets NPM et d'attaques de la chaîne d'approvisionnement. Le logiciel malveillant "Marstech1" s'exécute par le biais de dépôts open-source manipulés

[diamondsoftware]

Vibe coding... ou comment impressionner ses clients et/ou son boss a bon prix.... sans rien maitriser...
Mais attention le retour de baton!
Ca promet de beaux crashs en perspective... et ca va faire mal...
S.