Open source · MIT · zéro réseau

Sépare le métal pur
des impuretés.

Cupel audite localement les skills IA installés sur ta machine — Claude Code, Cursor, Codex, Windsurf, Gemini, Continue. 14 catégories de détection : prompt injection, ASCII smuggling, tool poisoning, exfiltration de credentials, reverse shells.

Le nom vient de la coupelle, instrument de l'essayeur d'or depuis 4 000 ans. On y dépose l'échantillon, on chauffe, les impuretés sont absorbées, le métal pur reste.

4 000 ans d'audit de pureté, transposés au code IA. — Égypte ancienne → mai 2026

Quand un orfèvre antique recevait un lingot, il avait un problème connu : c'était du vrai or pur, ou un alliage avec des métaux moins nobles coulés ensemble pour faire passer un faux pour un vrai ?

La technique inventée par les Égyptiens, raffinée par Grecs, Romains et médiévaux, s'appelle la coupellation. On dépose l'échantillon dans une petite coupelle en céramique poreuse (cupella en latin). On chauffe à 1 000 °C. La céramique absorbe les impuretés — plomb, scories, alliages. Seul reste un bouton de métal pur, isolé, lisible.

C'est l'outil d'audit de pureté le plus ancien de l'humanité. Toujours utilisé dans les laboratoires d'essai des métaux précieux.

J'ai pensé qu'on pouvait faire la même chose pour les skills IA.

14 signaux. Lisibles dans 500 lignes de code.

Pas de modèle d'apprentissage, pas de boîte noire. Du regex, du scoring composite, trois tiers : ok, warn, danger. Les trois derniers signaux (en orange) ont été ajoutés en mai 2026 pour les vecteurs LLM-natifs documentés par Snyk ToxicSkills et Invariant Labs.

Les installeurs trusted (sh.rustup.rs, nodejs.org, get.docker.com) sont reconnus et leur poids divisé par 2 — pas de faux positif sur les setups légitimes.

Le CLI est libre. L'humain qui auditera ton stack a un prix.

CLI gratuit

0 €illimité, local

Scanne, audite, intègre en CI.

  • npx @aissabelkoussa/cupel
  • Multi-plateformes
  • Sortie SARIF + JSON
  • Code MIT auditable
Voir le code ›

Audit async

590 €1 freelance ou indé

Livraison J+5. Pas de calendrier à caler.

  • Rapport PDF 12-18 pages
  • Politique CI prête à coller
  • 30 min Loom commenté
  • Support email 7 jours
Réserver ›

Audit équipe

1 490 €jusqu'à 10 devs

Audit + politique + formation 2 h.

  • Skills déployés en équipe
  • Politique de validation
  • Rapport CTO / Head of Sec
  • Support 30 jours
En discuter ›

Cupel Org

4 900 €30+ devs · SLA

Sessions trimestrielles, accès direct.

  • Audit multi-équipes
  • Politique CI custom
  • SLA réponse 24 h
  • Accès message privé
Parler à Aïssa ›

Trente secondes pour scanner.
Cinq minutes pour comprendre.

Tape la commande. Lis le rapport. Désinstalle ce qui doit l'être. Si tu veux qu'on regarde ensemble, je prends deux audits par mois.

Code source MIT › Réserver l'audit 590 € › 
npx @aissabelkoussa/cupel

# Node.js ≥ 22 · zero install · zero network