Vercel a publié un advisory de sécurité pour Next.js. Notre site tournait sur une version vulnérable. Voici comment on a patché avec Claude Code.
Le contexte
Version en production : Next.js 15.4.1
Version patchée : Next.js 15.5.7
Type de vulnérabilité : Middleware handling (détails non publics au moment du patch)
Les CVE critiques sur les frameworks populaires sont exploitées rapidement. Le temps entre la publication et les premiers exploits se compte en heures.
Le processus avec Claude Code
Prompt envoyé :
"CVE critique Next.js. Version actuelle 15.4.1, vulnérable. Patch vers 15.5.7."
Ce que Claude a fait (47 secondes) :
Ce que j'ai fait (2 minutes) :
Pourquoi le review humain est non-négociable
Claude aurait pu push directement. On ne le fait pas.
Raisons :
Le vibe coding n'est pas de l'automatisation aveugle. C'est de l'augmentation : l'IA fait le travail mécanique, l'humain valide les décisions.
Dans ce cas précis, le risque était faible (patch mineur, même major version). Mais la discipline reste.
Workflow recommandé pour les patchs de sécurité
1. Évaluer la criticité
CVE score, type d'exploit, surface d'attaque. Un middleware vuln sur un site public = urgent.
2. Vérifier la compatibilité
Lire les release notes. Chercher les breaking changes. Tester en local si possible.
3. Patcher
Laisser l'IA faire la modification + build + test.
4. Review
Humain vérifie le diff, les logs, le comportement.
5. Deploy progressif
Si possible, canary deployment. Sinon, monitoring accru post-deploy.
Ce qu'il faut retenir
- -Les CVE critiques se mesurent en heures, pas en jours.
- -Claude Code peut patcher en secondes. Le review humain prend 2 minutes. Total : 3 minutes.
- -Toujours vérifier le diff, même pour un changement de version.
- -Le vibe coding = IA pour le mécanique, humain pour les décisions.