Introduction
Snyk, une entreprise de cybersécurité, a lancé Evo Agentic Development Security, une nouvelle couche de sa plateforme de sécurité IA conçue pour contrôler les agents de codage autonomes qui construisent des logiciels d'entreprise sans surveillance humaine significative.
Contexte Technique
Les assistants de codage IA sont devenus des agents autonomes qui appellent des outils externes, prennent des actions et se connectent à des systèmes internes via des serveurs de protocole de contexte de modèle, des plug-ins et des intégrations tierces. Les outils de sécurité conventionnels ne sont pas conçus pour couvrir ce type de vulnérabilités, car ils analysent le code après sa rédaction et n'ont pas de visibilité sur les connexions ou les actions des agents en temps réel.
Snyk a collecté des données de télémétrie provenant de près de 9 700 environnements de développement, révélant que 43 % des développeurs exécutent deux environnements de codage IA ou plus en même temps et que plus de la moitié ont des serveurs MCP installés, avec l'environnement le plus instrumenté exécutant plus de 80 serveurs à la fois.
Analyse et Implications
Les résultats montrent que 1 développeur sur 12 avec des serveurs MCP a des vulnérabilités de haute ou de criticité. De plus, les attaques par le biais de la chaîne d'outils d'agent sont possibles, comme le montrent les exemples de scanneurs de sécurité empoisonnés et d'injections de prompte cachées dans les dépendances que les agents consomment.
Evo Agentic Development Security répond à ces vulnérabilités en divisant ses contrôles en trois étapes : la vérification des serveurs MCP, des compétences et des outils externes utilisés par l'agent avant son exécution, la surveillance et l'application des politiques pendant l'exécution de l'agent, et l'analyse et la correction des vulnérabilités dans le code généré par l'IA au moment de sa création.
Perspective
La sortie d'Evo Agentic Development Security complète la plateforme de sécurité IA de Snyk, qui comprend désormais Evo AI-SPM pour la visibilité des actifs IA et Evo Continuous Offensive Security pour les attaques simulées. La disponibilité générale d'Evo ADS est prévue pour le 29 juin.
