Un nouveau scanner de vulnérabilités open-source, baptisé Vigolium, a fait l'objet d'une première publication en mai 2026. L'outil se distingue par sa double approche : une analyse déterministe classique couplée à un audit piloté par intelligence artificielle (IA).

Vigolium embarque plus de 235 modules de scan et un moteur d'agent intégré appelé olium, chargé de la découverte autonome des endpoints, de la planification des attaques et du triage des résultats. Deux modes d'exécution sont proposés. La commande vigolium scan exécute un pipeline déterministe en plusieurs phases, incluant la découverte de contenu, le spidering via navigateur, ainsi que des audits actifs et passifs. La commande vigolium agent confie le contrôle à un moteur piloté par un grand modèle de langage (LLM) qui sélectionne les modules, génère des extensions JavaScript personnalisées et réalise des audits de code source en parallèle des scans dynamiques.

Budgets et coût de l'autonomie des agents L'utilisation d'un outil de sécurité agentique soulève une question récurrente pour les opérateurs : combien de temps et d'argent un auditeur autonome doit-il pouvoir consommer avant que son travail ne devienne inutile ? Vigolium expose des limites configurables sur les jetons (tokens), les appels d'outils, les itérations de triage et la durée maximale d'exécution.

Jessie Ho, auteur de l'outil, recommande d'adapter ces limites à la tâche. « Pour les tests d'intrusion limités dans le temps ou les exécutions en intégration continue, utilisez les limites de temps et d'itérations pour garantir une fin. Pour une analyse approfondie d'une seule cible, relâchez les limites de jetons et autorisez les replanifications. Pour des balayages larges, maintenez des budgets serrés par cible, sinon une cible explorée en profondeur peut tout consommer. »

Il décrit deux modes d'échec : un budget trop faible interrompt l'agent en plein milieu d'une piste, ne laissant qu'un résultat peu fiable ; un budget trop élevé le laisse errer, brûler des ressources et ajouter du bruit. Son conseil aux nouveaux utilisateurs est de commencer avec des limites serrées et de les assouplir uniquement lorsqu'un travail réel est interrompu.

Le triage comme phase distincte Les résultats plausibles mais non reproductibles constituent un problème persistant dans les tests de sécurité assistés par LLM. Selon Jessie Ho, Vigolium y répond en réalisant le triage comme une phase séparée après le scan. « Le scanner trouve des candidats, puis une passe distincte revérifie chacun d'eux à partir de ses preuves. »

Concernant la déduplication, la conception privilégie la fusion à la suppression. « Il ne fait que fusionner les copies d'un même problème, il ne prend jamais de décision de conservation ou de rejet sur les cas limites. Tout ce dont l'agent n'est pas sûr est rétrogradé et affiché, jamais supprimé silencieusement. »

Extensions, bac à sable et hypothétique registre Le moteur JavaScript de Vigolium permet aux utilisateurs d'écrire des modules de scan personnalisés et des hooks avec des API HTTP conscientes de la session. Les extensions peuvent exécuter des commandes arbitraires sans bac à sable. Interrogé sur l'émergence éventuelle d'un registre communautaire, Jessie Ho s'est montré prudent quant au modèle de confiance qu'un tel système exigerait.

« Les extensions exécutent du code arbitraire sans bac à sable, donc un registre revient à distribuer des exécutables, et la signature indique seulement qui l'a écrit, pas s'il est sûr. » Tout mécanisme de partage, selon lui, nécessiterait une provenance et une signature, une posture non fiable par défaut avec une adhésion explicite, et une curation plutôt qu'une soumission ouverte. « Un petit ensemble vérifié vaut mieux qu'un grand marché non contrôlé. »

Cœur open-source, console commerciale Vigolium est accompagné d'un produit hébergé appelé Cloud Console. Jessie Ho a tracé la frontière entre les deux en termes opérationnels. « Le scanner est le cœur open-source, les opérations sont commerciales. Tout ce qui trouve des bugs reste dans le dépôt sous licence AGPL. La Console est simplement la couche opérationnelle par-dessus : hébergement, collaboration, passage à l'échelle, planification. »

La confiance des contributeurs, dit-il, repose sur la licence et sur un comportement visible dans le temps. « Les nouvelles détections arrivent d'abord dans le dépôt open-source. Le jour où une capacité commence à quitter le cœur pour être vendue via la Console, cette confiance est perdue. »

Vigolium est disponible gratuitement sur GitHub.