RCE sur CodeRabbit : 1 million de dépôts compromis
2025-08-19
Des chercheurs en sécurité ont découvert une faille critique dans CodeRabbit, un outil populaire de revue de code IA, conduisant à une exécution de code à distance (RCE). En exploitant une faille dans la configuration de Rubocop, les attaquants ont exécuté du code malveillant, volé des informations sensibles, notamment des clés API Anthropic et OpenAI, des clés privées de l’application GitHub, et obtenu un accès en lecture/écriture à 1 million de dépôts de code (y compris des dépôts privés). Cela souligne la nécessité critique d’intégrer des mesures de sécurité dans le cycle de vie de développement des produits basés sur l’IA.
Technologie
Vulnérabilité RCE