Les agents d'intelligence artificielle tels que Claude Code, Gemini CLI et GitHub Copilot sont conçus pour faciliter le développement de logiciels et améliorer la productivité des développeurs. Cependant, un chercheur en sécurité a récemment découvert une vulnérabilité dans ces agents qui pourrait permettre à des attaquants de les manipuler à distance. Cette vulnérabilité, nommée 'Comment and Control', permet aux attaquants d'injecter des commandes malveillantes via des commentaires dans le code source, ce qui pourrait avoir des conséquences graves pour la sécurité des systèmes et des données. Les commentaires sont généralement utilisés par les développeurs pour expliquer leur code et rendre leur travail plus compréhensible, mais dans ce cas, ils pourraient être utilisés pour introduire du code malveillant. Les attaquants pourraient ainsi prendre le contrôle des agents et les utiliser pour exécuter des actions non autorisées, telles que la modification de code, l'exfiltration de données ou la propagation de malware. Il est essentiel que les développeurs et les organisations prennent des mesures pour se protéger contre cette vulnérabilité, notamment en mettant à jour leurs agents et en renforçant les contrôles de sécurité autour de leurs environnements de développement.