Source et contexte : Dark Reading (article de Robert Lemos, 20 fév. 2026) rapporte les leçons de deux années de recherches menées par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une présentation prévue à RSAC en mars. Leur message clé : se concentrer sur les vulnérabilités d’infrastructure plutôt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes.

Les chercheurs formalisent un modèle de menace en cinq couches couvrant tout le cycle de vie IA :

  • Entraînement 🧪 : risque majeur de fuite de données (ex. en 2023, un lien de partage trop permissif exposait 38 To de données utilisées par Microsoft pour l’entraînement).
  • Inférence 🤖 : vulnérabilités trouvées dans des modèles en production (ex. DeepSeek) et des services (ex. Ollama).
  • Application 🧩 : au-delà du prompt injection, graves lacunes dans les plateformes de « vibe coding » (ex. Base44) avec une faille pouvant donner accès à toute application privée d’entreprise; ces apps sont « hackables en minutes » selon Wiz.
  • Cloud IA ☁️ : failles au niveau des clouds hébergeant modèles et apps, pouvant conduire à compromettre l’ensemble des clients.
  • Matériel / Systèmes 🧱 : chaîne de vulnérabilités dans NVIDIA Triton Inference Server permettant à un attaquant non authentifié d’obtenir un contrôle complet sur le modèle.

Chaîne d’approvisionnement et formats à risque : l’usage massif du format Pickle (mélange données + code) pour stocker des modèles facilite l’exécution de code arbitraire via des fichiers malveillants, reflet d’outils conçus par des data scientists sans modélisation de menace suffisante. Les chercheurs ont testé le déploiement de modèles piégés auprès de grands fournisseurs IA pour observer l’impact.

Contexte industriel : malgré des inquiétudes de sécurité, les entreprises accélèrent l’adoption de l’IA. Selon le « 2026 CISO AI Risk Report », 83 % des CISOs s’inquiètent du niveau d’accès de l’IA aux systèmes, 71 % estiment qu’elle touche des systèmes cœur et constatent des outils IA non sanctionnés en production. Pour Wiz, la course au marché reproduit des erreurs passées, laissant l’infrastructure IA particulièrement exposée.

Boucle de sécurité continue : il n’existe pas de correctifs rapides. Wiz met en avant un agent de sécurité effectuant des revues régulières (code, services, applications) pour une conformité continue, rappelant que les fenêtres d’exposition se mesurent désormais en minutes.

Article de presse spécialisé visant à synthétiser des travaux de recherche et à recentrer l’attention sur les failles structurelles tout au long de la pile IA.

TTPs observés/décrits :

  • Abus de sérialisation insecure (Python Pickle) pour exécuter du code arbitraire (supply chain via modèles).
  • Empoisonnement/déploiement de modèles malveillants auprès de fournisseurs IA.
  • Exploitation de serveurs d’inférence (ex. NVIDIA Triton) via chaînage de vulnérabilités jusqu’au contrôle total non authentifié.
  • Compromission de plateformes d’applications IA low/no-code (« vibe coding ») pour accéder à des applications privées d’entreprise.
  • Compromission du plan de contrôle Cloud IA entraînant un risque systémique pour tous les clients.

🔗 Source originale : https://www.darkreading.com/application-security/lessons-ai-hacking-model-every-layer-risky