29 millions de secrets sur GitHub. Vos agents IA sont passés par là.
Aurélien Allienne
Publié le • 6 min de lecture
29 millions de secrets sur GitHub. Vos agents IA sont passés par là.
29 millions de secrets exposés sur GitHub public en 2025. Parmi eux, les fuites liées aux services IA ont bondi de 81% en un an. Pendant ce temps, les agents de code se multiplient dans les entreprises. Coïncidence ?
Les agents montent en puissance — et en accès
OpenAI vient de détailler l’architecture de Codex, son agent de code cloud [1]. Trois couches : une boucle agentique, un système de gestion du contexte qui assemble le prompt depuis cinq sources différentes, et un protocole maison pour piloter l’agent dans VS Code, le terminal et le navigateur. MCP ne suffisait pas — les patterns d’interaction réels (streaming, approbation mid-task, diffs) ne rentraient pas dans le standard. Chaque tâche tourne dans sa propre sandbox cloud, avec accès au repo complet.
Chez Meta, le Ranking Engineer Agent (REA) va encore plus loin [2]. Cet agent autonome gère le cycle complet d’une expérience d’optimisation du ranking publicitaire : analyse des données, génération de code, lancement de l’expérience, interprétation des résultats. L’agent a accès aux systèmes internes de Meta, aux pipelines de données, aux outils de déploiement. C’est la promesse de l’IA agentique : un ingénieur virtuel qui enchaîne les étapes sans intervention humaine.
Mais qui dit accès massif dit surface d’attaque massive.
29 millions de secrets, et ça accélère
Le rapport GitGuardian 2026 est sans appel [3]. 29 millions de secrets détectés sur les repos publics GitHub. Les fuites de clés de services IA — API keys OpenAI, Anthropic, Google AI — explosent à +81%. Et ce n’est que la partie émergée : les repos privés sont 8 fois plus susceptibles de contenir des secrets que les repos publics.
Le mécanisme est prévisible. Les agents de code génèrent du code à grande vitesse. Ils copient des patterns qu’ils ont vus dans leur entraînement — patterns qui incluent souvent des clés API en dur, des tokens hardcodés, des configurations non sécurisées. Le développeur qui valide la PR en 30 secondes ne voit pas passer le secret. L’agent ne sait pas qu’il a laissé une porte ouverte.
Quand l’agent s’échappe de sa sandbox
Deux jours. C’est le temps qu’il a fallu après la sortie de Snowflake Cortex Code pour qu’une vulnérabilité critique soit identifiée [4]. Via une injection de prompt cachée dans le README d’un repo, un attaquant pouvait faire exécuter des commandes arbitraires à l’agent — en dehors de sa sandbox, sans approbation humaine. Téléchargement de scripts malveillants, exfiltration de données, suppression de tables Snowflake. Le tout en exploitant les credentials actifs de l’utilisateur.
L’attaque contourne les trois modes de sandbox proposés par Cortex Code. Que vous soyez en mode “OS+Regular” avec approbation obligatoire ou non — le résultat est le même.
La faille a été patchée en dix jours. Mais le pattern est généralisable : un agent de code qui a accès au filesystem, au réseau et à vos credentials est un vecteur d’attaque de premier ordre. La confiance implicite que nous accordons à ces agents — “il tourne dans une sandbox, c’est bon” — est exactement le type d’hypothèse que les attaquants exploitent.
Le piège du contexte
Ce problème de confiance mal placée dépasse la sécurité pure. John Cutler (TBM) met le doigt sur un biais plus profond qu’il appelle “the context trap” [5]. L’idée dominante dans l’IA — et dans le management — est que si on assemble assez de contexte, la bonne réponse émerge. Plus de données dans le prompt, plus de documents dans le RAG, plus d’informations cascadées dans l’organisation.
“Context is produced through the interactions themselves. It is not something actors bring into the room and pool together.”
Le contexte n’est pas un paquet qu’on transmet. Il se construit dans l’interaction. Un agent qui a accès à tout votre repo n’a pas pour autant compris votre architecture. Un manager qui a lu tous les dashboards n’a pas pour autant compris ce qui bloque son équipe. L’IA pousse le knowledge work vers un “mode solo” extrême — on remixe de l’information en boucle sans générer de contexte partagé réel.
L’enterprise AI bute sur le même mur
C’est exactement ce que documente SingleStore sur l’IA agentique en entreprise [6]. Les démos impressionnent, les PoC stagnent, les déploiements sont lents ou fragiles. Le problème n’est ni le modèle, ni l’ambition, ni les données. C’est que le contexte métier nécessaire à chaque décision de l’agent est dispersé entre systèmes transactionnels, logs, documentation interne, politiques de sécurité. Quand ce contexte est incomplet ou lent à assembler, l’agent “devine” — ce qui est acceptable pour une tâche créative, inacceptable pour une décision business.
Et sur le terrain, les limites sont concrètes. Robin Moffatt a testé Claude Code sur un projet dbt complet [7]. Le résultat : impressionnant en vitesse, mais truffé d’erreurs qu’un data engineer ne ferait pas — mauvaises jointures, edge cases ignorés, conventions métier mal comprises. L’agent code vite, mais il ne comprend pas le domaine. Il assemble du contexte sans le maîtriser.
Conclusion
Les agents IA gagnent en puissance et en autonomie chaque semaine. Mais la sécurité, la compréhension du contexte et la supervision humaine n’évoluent pas au même rythme. La question n’est plus “est-ce que vos devs utilisent des agents ?” — c’est “est-ce que vos agents savent ce qu’ils n’ont pas le droit de faire ?”
Sources
- How OpenAI Codex Works
- Ranking Engineer Agent (REA): The Autonomous AI Agent Accelerating Meta’s Ads Ranking Innovation
- GitGuardian Reports an 81% Surge of AI-Service Leaks as 29M Secrets Hit Public GitHub
- Snowflake Cortex AI Escapes Sandbox and Executes Malware
- TBM 406: Seeing Everything, Understanding Nothing (The Context Trap)
- Agentic AI: Why Enterprise AI Is Not Delivering on Its Promise
- Claude Code isn’t going to replace data engineers (yet)
Pour aller plus loin
- How Much of the Software Slowdown Is Just Budgets Flowing to Anthropic and OpenAI? Maybe As Much As 70% — SaaStr estime que 70% du ralentissement du marché SaaS s’explique par les budgets IT redirigés vers OpenAI et Anthropic
- pgit: What If Your Git History Was a SQL Database? — Un outil qui transforme votre historique Git en base PostgreSQL requêtable — idéal pour l’analyse de codebase à grande échelle
- How Reddit Migrated Petabyte-Scale Kafka from EC2 to Kubernetes — Le récit détaillé de la migration Kafka de Reddit vers Kubernetes, avec les patterns de zéro-downtime à cette échelle
- How Do You Know If You’re a Good Leader? — Une réflexion sur l’auto-évaluation du leadership, un sujet complémentaire à la question du contexte en management
Cet article a été rédigé en m’appuyant sur une IA pour m’aider à synthétiser et structurer ma veille. Les idées, le choix des sources et la relecture restent les miens.
Pour aller plus loin
— SaaStr estime que 70% du ralentissement du marché SaaS s'explique par les budgets IT redirigés vers OpenAI et Anthropic
— Un outil qui transforme votre historique Git en base PostgreSQL requêtable — idéal pour l'analyse de codebase à grande échelle
— Le récit détaillé de la migration Kafka de Reddit vers Kubernetes, avec les patterns de zéro-downtime à cette échelle
— Une réflexion sur l'auto-évaluation du leadership, un sujet complémentaire à la question du contexte en management
Cet article a été rédigé en m'appuyant sur une IA pour m'aider à synthétiser et structurer ma veille. Les idées, le choix des sources et la relecture restent les miens.