Selon un billet publié le 24 août 2025, un chercheur décrit une attaque « SpAIware » contre Windsurf Cascade exploitant la prompt injection et la persistance en mémoire pour exfiltrer des données de façon continue. Windsurf Cascade est une fonctionnalité intégrée à l’éditeur de code Windsurf (basé sur Visual Studio Code) qui s’appuie sur l’intelligence artificielle pour assister les développeurs.

L’article explique que Windsurf Cascade dispose d’un outil interne « create_memory » qui est invqué automatiquement sans approbation humaine. Cette conception permet à un attaquant, via une prompt injection indirecte (par exemple dans un commentaire de code C, un ticket GitHub ou une page web), de persister des instructions malveillantes dans la mémoire à long terme de l’agent. L’impact revendiqué couvre la confidentialité, l’intégrité et la disponibilité des futures conversations.

Le chercheur relie cette attaque à ses travaux antérieurs « SpAIware » (démontrés l’an dernier sur ChatGPT et présentés à Black Hat dans « SpAIware & More: Advanced Prompt Injection Exploits in LLM Applications »), montrant qu’une fois la mémoire compromise, l’agent peut exfiltrer en continu les entrées de l’utilisateur et les réponses du modèle, et envoyer de nouvelles instructions au client, équivalant à un C2 par prompt injection. Une preuve de concept illustre l’invocation du tool « create_memory », l’enregistrement de souvenirs persistants, et l’envoi d’informations vers un serveur tiers, confirmé par des logs. L’exfiltration peut être rendue furtive, par exemple via une image 1 px transparente.

Côté sécurité de la plateforme, le texte souligne l’absence de sandbox/Content Security Policy, la rendu d’images/liens non approuvés, et la persistance mémoire automatique comme combinaison risquée. L’auteur indique avoir procédé à une divulgation responsable le 30 mai 2025 (accusé de réception quelques jours plus tard), puis un silence prolongé avant un retour récent de Windsurf annonçant travailler sur des correctifs (sans ETA). Certaines informations techniques et une vidéo de démonstration sont provisoirement retenues jusqu’à la mitigation des problèmes d’exfiltration.

Le billet propose des mesures d’atténuation: faire valider les « memories » par l’utilisateur au lieu de les ajouter automatiquement; ne pas rendre des contenus distants non approuvés (s’appuyer sur une liste de domaines de confiance à la manière de VS Code); et encourager les utilisateurs à inspecter régulièrement leurs memories. Le propos conclut que la combinaison de l’absence de sandbox et de la persistance mémoire automatique ouvre la voie à des attaques SpAIware visant Windsurf Cascade.

IOCs connus: aucun partagé dans l’extrait.

TTPs observés/mentionnés:

  • Prompt injection indirecte dans des artefacts de développement (commentaires de code, issues GitHub, pages web)
  • Abuse du tool interne « create_memory » pour persister des instructions malveillantes
  • Exfiltration de données via rendu de ressources distantes (ex. image 1 px transparente) vers un serveur tiers
  • Maintien d’un C2 par prompt injection et déclenchement d’outils côté client

Type d’article: publication de recherche avec preuve de concept et alerte de sécurité visant à sensibiliser sur la chaîne d’attaque SpAIware.

🧠 TTPs et IOCs détectés

TTP

[‘Prompt injection indirecte dans des artefacts de développement (commentaires de code, issues GitHub, pages web)’, ‘Abuse du tool interne « create_memory » pour persister des instructions malveillantes’, ‘Exfiltration de données via rendu de ressources distantes (ex. image 1 px transparente) vers un serveur tiers’, ‘Maintien d’un C2 par prompt injection et déclenchement d’outils côté client’]

IOC

Aucun partagé dans l’extrait

🔗 Source originale : https://embracethered.com/blog/posts/2025/windsurf-spaiware-exploit-persistent-prompt-injection/