Incident CVE-2026-LGTM : défaut de sécurité critique
Original : Incident CVE-2026-LGTM
Pourquoi c'est important
Démontre les limites critiques des défenses de sécurité basées exclusivement sur l'IA pour la chaîne d'approvisionnement logicielle.
Un paquet malveillant a contourné sept portes de sécurité alimentées par l'IA sur le registre creats.io le 26 juin 2026. L'incident a duré 96 heures avant résolution par traité. Les systèmes d'IA ont échoué à détecter l'exfiltration de données malgré des alertes humaines.
Un paquet nommé foxhole-lz4, présenté comme un fork communautaire du projet vulpine-lz4, a été publié sur le registre creats.io avec une charge malveillante camouflée. Le paquet contenait un texte caché en blanc sur fond blanc indiquant une approbation fictive de l'équipe de sécurité. La porte de publication IA OpenClaw-4.2 a approuvé le paquet en référençant un ticket SEC-4521 inexistant. Plusieurs analyseurs de menaces commerciaux ont échoué à identifier la routine d'exfiltration de credentials dans build.rs. ThreatNuzzle Platform s'est arrêté sur un blob base64 contenant du contenu sans rapport (fan art du renard mascotte), rapportant une gravité informationnelle. Trois autres scanners commerciaux se sont perdus dans du contenu de remplissage (scénario Bee Movie, code du second étage). SentinelMind a correctement identifié la menace, mais l'assistant de triage IA a fermé le signalement comme faux positif. Une humaine, Karen Oyelaran, a découvert la charge en lisant le code source et signalé l'incident, mais son compte a été limité pour "comportement automatisé". Le paquet s'est propagé comme dépendance transitive dans snekpack 4.x, entraînant l'exfiltration de credentials à grande échelle.