What could go wrong?
Vanna.AI est une bibliothèque Python qui permet de proposer des solutions text-to-SQL aux développeurs en s’appuyant sur des grands modèles de langage. Fin mai, l’entreprise de sécurité informatique JFrog y a détecté une vulnérabilité permettant d’injecter du code Python puis de le lancer. Pour les chercheurs de l’entreprise, le pre-prompting ne peut être utilisé comme seul mécanisme de sécurité quand les développeurs utilisent des grands modèles de langage.
L’équipe de recherche de l’entreprise de sécurité JFrog a annoncé avoir découvert fin mai dernier une faille critique (CVE-2024-5565) dans la bibliothèque Python Vanna.AI. Celle-ci propose aux développeurs une interface de conversion text-to-SQL utilisant l’IA générative, permettant de générer du SQL à partir de langage naturel. Son code est publié sur GitHub en licence MIT et la bibliothèque rencontre un certain succès.