Source: Ars Technica (Dan Goodin), contexte: Microsoft a annoncé les fonctionnalités expérimentales Copilot Actions dans Windows et publié des avertissements sur leurs risques de sécurité.
Microsoft introduit des « agentic features » permettant d’automatiser des tâches (organiser des fichiers, planifier des réunions, envoyer des emails) 🤖, mais précise que Copilot Actions est désactivé par défaut et ne devrait être activé que par des utilisateurs « expérimentés ». L’entreprise reconnaît des limites fonctionnelles des modèles et des risques spécifiques aux agents.
Les risques mis en avant incluent des défauts connus des LLM: hallucinations (réponses erronées) et prompt injection, avec un focus sur la cross-prompt injection (XPIA) où du contenu malveillant dans l’UI ou des documents peut supplanter les instructions de l’agent, entraînant des exfiltrations de données ou une installation de malware ⚠️. Ces failles sont difficiles à prévenir en amont et nécessitent souvent des contournements ad hoc une fois découvertes.
Des experts comparent l’avertissement à l’ère des macros dans Office, jugées indispensables mais dangereuses: Kevin Beaumont parle de « macros sous stéroïdes ». Des doutes portent aussi sur la capacité des admins à restreindre ou inventorier ces agents sur les postes. Microsoft indique que les admins pourront activer/désactiver l’agent au niveau compte/appareil via Intune ou d’autres solutions MDM.
L’article souligne la dépendance à des prompts d’autorisation utilisateur (non-répudiation, confidentialité, consentement explicite), mais rappelle le risque d’habituation et les attaques « ClickFix » qui poussent les utilisateurs à cliquer sans discernement. Des critiques (dont Earlence Fernandes et Reed Mideke) estiment que l’industrie ne sait pas encore contrer efficacement hallucinations et prompt injection, et que la responsabilité est en pratique transférée à l’utilisateur. Le constat est élargi aux intégrations IA d’autres acteurs (Apple, Google, Meta).
IOCs: aucun IOC fourni.
TTPs évoqués:
- Prompt injection / Cross-prompt injection (XPIA)
- Exfiltration de données via actions d’agent
- Installation de malware via dérivation d’instructions
- Ingénierie sociale type « ClickFix » (fatigue de consentement)
- Hallucinations exploitables des LLM
Type d’article: article de presse spécialisé décrivant des risques de sécurité liés à une nouvelle fonctionnalité expérimentale et la controverse autour de sa gouvernance et de ses contrôles.
🔗 Source originale : https://arstechnica.com/security/2025/11/critics-scoff-after-microsoft-warns-ai-feature-can-infect-machines-and-pilfer-data/