Intéressant.
(Permalink)

Je ne m'attendais pas à autre chose.
Et encore : l'article parle surtout de la gestion des secrets (clés d'API par exemple), mais ce n'est pas le seul problème, loin de là. Il n'y a pas un mot sur les autres mauvaises pratiques de développement très problématiques concernant la sécurité : mauvais échappement ou absence d'échappement, réutilisation/dépassements de buffers, non-contrôle des valeurs/nulls, mauvaise gestion des exceptions, fuite de données sensibles dans les logs...  tout un tas de bonnes pratiques à connaître pour la sécurité pour lesquelles on a aucune garantie que les IA respectent.
(Permalink)

1) Les développeurs utilisent des IA pour générer du code.
2) Les IA, dans leur code, inventent des imports de packages qui n'existent pas.
3) Les malveillants comprennent que les IA hallucinent des packages qui n'existent pas et les créent pour de vrai, avec du code malveillant dedans (GitHub, nmp, PyPi...)
4) Les développeurs importent donc ces packages malveillants sans le savoir.

Ne faite pas comme ces développeurs.

EDIT: Article en Français : https://next.ink/180687/des-malwares-squattent-les-noms-de-paquets-hallucines-par-les-modeles-de-langage/
(Permalink)

Sous le coude : un râlage contre Python (principalement le duck typing et les exceptions). Je garde pour les arguments. (Et pourtant j'adore Python.)
(Permalink)