Introduction
Nous laissons les agents IA lire et écrire des fichiers dans nos projets, et nous installons des compétences ou des plugins à partir d'Internet. Cependant, les logiciels malveillants peuvent voler des secrets lors de l'installation. Les agents IA exécutent des commandes et installent des packages npm, qui peuvent parfois être malveillants.
Contexte Technique
Le problème est dû au fait que les agents IA et les gestionnaires de packages ont accès à des fichiers sensibles tels que .env, ~/.ssh et ~/.npmrc. Les logiciels malveillants peuvent être introduits via des packages npm compromis, qui peuvent exécuter du code arbitraire lors de l'installation et voler des secrets.
Un exemple de logiciel malveillant est le ver self-réplicatif Shai-Hulud, qui s'est propagé via npm en 2025. Lorsqu'un package compromis est installé, son hook recherche des informations d'identification dans .npmrc, des variables d'environnement et des fichiers de configuration contenant des jetons GitHub et des clés cloud pour AWS, GCP et Azure.
Analyse et Implications
La solution pour prévenir ces attaques est d'utiliser airgap, un wrapper qui exécute un programme dans des namespaces. Les secrets sensibles dans les fichiers sont cachés des agents IA, qui peuvent toujours travailler avec les fichiers, mais ne voient jamais les valeurs réelles.
Les gestionnaires de packages sont également contrôlés, et vous êtes invité à confirmer avant qu'ils n'accèdent à un fichier qu'ils ne sont pas censés accéder. airgap prend en charge plusieurs programmes, notamment claude, opencode et npm.
Perspective
Il est important de noter que airgap n'est pas une garantie de sécurité, mais plutôt une couche de protection supplémentaire. Les attaques continuent d'évoluer, et les contributions pour améliorer airgap sont les bienvenues. Pour assurer la sécurité, il est recommandé d'utiliser des alias pour exécuter les agents IA et les gestionnaires de packages sous airgap par défaut.
