Selon Embrace The Red, des chercheurs ont démontré une vulnérabilité critique dans l’agent IA OpenHands permettant, via prompt injection, une exécution de code à distance (RCE) et la prise de contrôle persistante de l’agent en un « ZombAI » 🚨.
Sur le plan technique, l’attaque insère des instructions malveillantes dans des contenus web que l’agent traite. Lorsqu’OpenHands visite un site contrôlé par l’attaquant, il suit ces instructions pour télécharger un malware (payload similaire à ceux observés dans des exploits visant Anthropic Claude), l’exécuter localement, puis établir une connexion à un serveur de C2 🤖.
Les chercheurs décrivent aussi des attaques AI ClickFix où l’agent clique des boutons malveillants, copie des commandes shell dans le presse‑papiers, puis les exécute dans un terminal, automatisant ainsi la compromission. La faille touche les installations locales et potentiellement des services cloud. Les atténuations évoquées reposent surtout sur le sandboxing containerisé et des contrôles réseau.
TTPs clés observés:
- Prompt injection intégrée au contenu web
- Téléchargement et exécution locale de malware
- Établissement de C2 pour accès persistant
- AI ClickFix (clics malveillants, copie/exec de commandes)
Il s’agit d’une publication de recherche visant à divulguer une vulnérabilité et à démontrer concrètement la chaîne d’exploitation et ses implications sur les architectures d’agents IA.
🔗 Source originale : https://embracethered.com/blog/posts/2025/openhands-remote-code-execution-zombai/