Vibe Coding Journal de défense de sécurité

J'ai effectué un audit de sécurité pour moi-même, et j'ai découvert que plus de 10 scripts dans le projet avaient des clés privées de portefeuille codées en dur — j'ai failli exposer des fonds sur GitHub.

La cause est la vulnérabilité IDE signalée par @evilcos, combinée aux rappels des amis X lors du partage des données de Polymarket.

🚨 Scénario le plus dangereux

Cloner un projet sur GitHub, l'ouvrir avec Cursor — la clé privée disparaît.

Un fichier de configuration est caché dans le projet, et lorsqu'il ouvre l'IDE, une commande s'exécute automatiquement, sans que vous le sachiez. Le support officiel de Cursor dit que ce mécanisme de sécurité "est trop complexe" donc il est désactivé par défaut.

Solution : Paramètres → Rechercher confiance de l'espace de travail → Activer

🛡️ Mon système de protection (Figure 1)

L'essentiel est d'automatiser la protection :
• Projet malveillant dans l'IDE → Fenêtre de confirmation automatique
• IA lisant la clé privée → Interception automatique
• Modifier le code en main → Interception automatique

L'intervention manuelle n'est pas fiable, l'automatisation est la dernière ligne de défense.

📋 SOP pour cloner un projet externe (Figure 2)

Un processus de vérification en 5 étapes, une fois adopté, on n'a plus peur.

Avant de cloner un projet externe, que vérifiez-vous ?

cc @evilcos @SlowMist_Team 🙏