Naeildo : il suffit d’entrer une URL pour que 9 agents IA analysent la sécurité d’un service de vibe coding

Bonjour, nous sommes l’équipe qui développe Naeildo.

De plus en plus de personnes créent rapidement des services avec des outils de codage IA comme Cursor ou Claude Code. Nous en faisions nous aussi partie, et un jour une question nous est restée en tête : « Ce code est-il vraiment sûr ? »

Nous avons décidé de le vérifier nous-mêmes. Nous avons analysé 28 services réels de startups coréennes selon les critères de l’OWASP Top 10, et les résultats ont été différents de ce que nous attendions.

• Des vulnérabilités de sécurité ont été trouvées dans 45 % du code généré par IA
• Score de sécurité moyen des 28 services : 19,4 sur 100
• Vulnérabilités les plus fréquentes : clés API codées en dur, absence de durée d’expiration des JWT, autorisation CORS globale

C’est pour résoudre ce problème que nous avons créé Naeildo.

Comment ça fonctionne

Lorsque vous saisissez une URL, 9 agents IA se répartissent en 3 équipes pour l’analyse.

• Équipe Guard (3 personnes) : analyse statique du code, audit des dépendances, vérification de la sécurité de l’infrastructure
• Équipe Analyst (3 personnes) : tests de sécurité dynamiques, vérification de l’authentification et du contrôle d’accès, analyse des patterns de code IA
• Équipe Verifier (3 personnes) : vérification de la conformité aux standards OWASP, validation de la conformité, validation croisée de l’ensemble des résultats

Après une analyse indépendante de chaque agent, une validation croisée est effectuée via une double voie (collecte de signaux externes à partir de l’URL + intégration avec le serveur MCP). La structure permet à un agent de détecter ce qu’un autre aurait pu manquer.

Il n’est pas nécessaire de soumettre directement votre code. L’analyse repose sur la collecte de signaux observables depuis l’URL, comme les en-têtes, TLS, CORS, DNS ou les métadonnées de contenu.

Résultats de l’analyse

• Liste des vulnérabilités + classification par gravité
• Guide d’amélioration étape par étape : il suffit de suivre les étapes dans l’ordre à partir de la 1re (avec exemples de code de correction)
• Rapport PDF : un format documenté pour partager les résultats de l’audit de sécurité
• Format Markdown : directement exploitable par les développeurs

Pourquoi nous l’avons créé

Selon une enquête de la KISIA, 67,4 % des entreprises coréennes n’exploitent pas d’organisation de sécurité en interne, et le nombre moyen de spécialistes sécurité dédiés est de 0,8 par entreprise. Même lorsqu’une entreprise souhaite effectuer un audit de sécurité, il est difficile de démarrer sans personnel spécialisé ou recours à un prestataire externe.

La vitesse de création de services avec des outils de codage IA a augmenté, mais nous avons estimé qu’il manquait de moyens accessibles pour vérifier ce code. Le projet est parti de l’idée qu’il serait utile de pouvoir lancer immédiatement une analyse avec une simple URL.

Stack technique

• Application web basée sur Next.js
• Architecture Multi-AI Agent (3 équipes, 9 agents : Guard / Analyst / Verifier)
• Pipeline de validation croisée multi-modèle basé sur l’URL

Si vous avez des retours ou des questions, n’hésitez pas à les laisser en commentaire. Les questions techniques sont également les bienvenues. Nous y répondrons avec plaisir.

https://naeildo.com