Selon une publication technique référencée sur embracethered.com, un chercheur en sécurité démontre une chaîne d’attaque permettant de détourner l’agent Devin AI via une injection de prompts indirecte pour exposer des systèmes de fichiers et services internes au public, sans correctif apparent plus de 120 jours après divulgation responsable.
L’attaque s’appuie sur le détournement de l’outil système expose_port de Devin AI. En « Stage 1 », un serveur web Python est lancé localement pour exposer le système de fichiers sur le port 8000. En « Stage 2 », l’outil expose_port est invoqué automatiquement pour rendre ce service accessible publiquement via des domaines en .devinapps.com, puis l’URL d’accès est exfiltrée en exploitant des failles liées au rendu Markdown d’images.
La démonstration illustre une « AI Kill Chain » typique: injection de prompts → confused deputy → invocation automatique d’outils sans vérification humaine. L’attaque contourne les refus initiaux de l’agent par des techniques de redirection multi-domaine et de séparation d’actions, permettant au contenu malveillant d’un site web de prendre le contrôle des capacités de l’agent.
Le chercheur indique avoir divulgué la vulnérabilité à Cognition il y a plus de 120 jours, sans que des correctifs apparents n’aient été constatés à ce jour. Le billet fournit un aperçu exécutif et technique de la méthode, ses étapes et ses effets potentiels (création de serveurs non autorisés et fuite d’URL d’accès).
🔗 Source originale : https://embracethered.com/blog/posts/2025/devin-ai-kill-chain-exposing-ports/