Selon Embrace The Red, un chercheur en sécurité a mis au jour plusieurs vulnérabilités critiques d’exfiltration de données affectant Google Jules, un agent IA de codage asynchrone, démontrant un enchaînement de type « lethal trifecta »: injection de prompt → confused deputy → invocation automatique d’outils. 🚨
Principaux vecteurs d’attaque mis en évidence:
- Rendu d’images Markdown: ajout de données sensibles à des URLs tierces lors du rendu, permettant l’exfiltration via requêtes sortantes.
- Abus de l’outil view_text_website: utilisation de la fonction pour exfiltrer des données vers des serveurs contrôlés par l’attaquant.
- Exécution de code à distance (RCE) avec accès Internet non restreint.
Le chercheur explique que l’architecture multi‑agents de Jules, où un agent planificateur principal coordonne des agents « workers » à forts privilèges, est au cœur de l’exposition: des attaques ciblant le planificateur peuvent contourner les contrôles « human‑in‑the‑loop », sans nécessiter les capacités des workers.
Les attaques sont déclenchables via injections de prompt, y compris au travers de tickets GitHub malveillants, et peuvent contourner les mécanismes d’approbation humaine. Les vulnérabilités ont été divulguées à Google, mais resteraient largement non corrigées dans la version généralement disponible.
TTPs observés:
- Injection de prompt pour influencer le planificateur.
- Confused deputy via délégation et invocation automatique d’outils.
- Exfiltration via Markdown (appending de données sensibles à des URLs tierces).
- Abus d’outil: view_text_website pour exfiltration vers serveurs adverses.
- RCE avec accès Internet non restreint.
Il s’agit d’une publication de recherche visant à documenter des vecteurs d’attaque, leurs impacts et les conditions d’exploitation.
🔗 Source originale : https://embracethered.com/blog/posts/2025/google-jules-vulnerable-to-data-exfiltration-issues/