Titre de l'article : 70 % des développeurs disent que le code IA contient plus de vulnérabilités ; 30 % le mettent en production quand même — enquête Checkmarx

L'enquête annuelle AppSec de Checkmarx auprès de 2 350 développeurs, RSSI et responsables AppSec dans le monde dresse un tableau sombre : 70 % des répondants estiment que le code généré par l'IA contient beaucoup plus de vulnérabilités, mais 30 % l'expédient en production en connaissance de cause. L'enquête 2026 fait suite à des rapports similaires depuis 2023, avec un échantillon 54 % plus large cette année.
Principaux résultats
- La part de code généré par l'IA a légèrement diminué — de 54 % à 49 % du code de production, mais reste élevée.
- 70 % signalent beaucoup plus de vulnérabilités avec le code IA par rapport au code écrit par des humains.
- 30 % expédient sciemment du code IA vulnérable en production, invoquant la pression pour déployer rapidement, la difficulté de correction ou le recours à d'autres contrôles.
- 93 % des organisations ont subi une ou plusieurs failles de sécurité dues à des applications vulnérables (en baisse par rapport à 98 % l'an dernier).
- L'open source représente 59 % du code de production, ajoutant un risque lié aux paquets malveillants dans npm, PyPI.
- Les organisations où 81 à 100 % du code est généré par l'IA expédient du code vulnérable à un taux 3,4 fois supérieur à celles où l'adoption est de 1 à 20 %.
Les chercheurs de Checkmarx ont découvert que les LLM ont tendance à sous-utiliser les fonctionnalités de sécurité modernes des langages et des compilateurs, car les données d'apprentissage contiennent des pratiques obsolètes. Une étude distincte de l'Université de Floride centrale et de l'Université de Birzeit a montré que le code C présentait le plus de vulnérabilités générées par l'IA, et Python le moins.
Citation du rapport : « Le risque est normalisé. » Les auteurs mettent en garde : le volume de code IA est directement corrélé au déploiement de code vulnérable et à la fréquence des failles.
📖 Lire la source complète : HN AI Agents
👀 See Also

Les forces de l'ordre américaines déclarent l'« extrémisme anti-technologie » comme une nouvelle catégorie de menace face à la controverse sur l'IA
Le DHS, le FBI et les centres de fusion surveillent un « extrémisme violent anti-technologie » — une nouvelle catégorie ciblant les manifestations, les menaces contre les centres de données et la dissidence liée à l'IA dans le cadre des directives de Trump.

Claude AI récupère un portefeuille Bitcoin de 11 ans d'une valeur de 400 000 $ en trouvant une sauvegarde et en corrigeant un bug de force brute
Un utilisateur a récupéré un portefeuille de 5 BTC (d'une valeur d'environ 400 000 $) après 11 ans en fournissant l'intégralité des fichiers de son ordinateur universitaire à Claude. L'IA a trouvé une sauvegarde plus ancienne du portefeuille et identifié un bug dans la logique de combinaison des mots de passe de btcrecover, permettant un déchiffrement réussi.

Le bug de mise à jour automatique d'OpenClaw laisse des répertoires prévol orphelins qui saturent /tmp
Le mécanisme de mise à jour automatique d'OpenClaw crée des copies de pré-vol dans /tmp qui persistent lorsque les mises à jour échouent, pouvant remplir l'espace disque et bloquer les mises à jour ultérieures. Un utilisateur a trouvé 9 répertoires orphelins totalisant 6,5 Go sur un VPS de 38 Go.

Anthropic ajoute une fonctionnalité d'importation de mémoire pour passer de ChatGPT/Gemini à Claude
La nouvelle fonctionnalité d'importation de mémoire d'Anthropic permet aux utilisateurs de transférer leurs préférences, projets, contexte et style de travail depuis ChatGPT, Gemini ou d'autres IA vers Claude en environ deux étapes de copier-coller, éliminant le besoin de réentraîner à partir de zéro.