Il a dit à Claude Code « il paraît qu'il y a une 0-day dans Vim. Trouve là ». Et Claude a sorti une faille réelle et inconnue jusqu'alors. Rapidement patchée. Il suffisait d'ouvrir un fichier markdown contenant certaines commandes pour que le code arbitraire soit exécuté. Les versions concernées sont Vim > 9.1.1391 && Vim < 9.2.0272 donc la vulnérabilité est là depuis mai 2025. J'ai testé sur ma distro et le PoC fonctionne.
Puis ils ont demandé la même chose en fournissant le code d'Emacs et résultat : "GNU Emacs: Multiple Remote Code Execution Vectors on File Open". Sauf que là les mainteneurs refusent de corriger parce qu'ils attribuent le comportement à git. Je n'ai pas fouillé plus avant. Explications en français : https://cyberveille.ch/posts/2026-03-31-des-rce-decouvertes-dans-vim-et-gnu-emacs-via-claude-ia-ouverture-de-fichier-suffisante/
Claude a trouvé les failles mais l'histoire ne dit pas si c'est lui qui les a précédemment créées vu qu'un fork de Vim est né à cause de l'utilisation de l'IA par certains dev ! (Humour, rien dans la faille du jour ne laisse penser que ça viendrait de l'IA et le dev à qui on reprochait l'utilisation de LLM n'apparaît pas dans le commit qui a créé la faille. Une bonne vieille erreur humaine est probable.)
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.