Injection De Prompts

Selon Black Hills Information Security (BHIS), dans un contexte d’« Emerging Technology Security », le Model Context Protocol (MCP) — un standard ouvert d’Anthropic pour relier des applications LLM à des données et outils externes — introduit des risques notables en raison d’un manque de contrôles de sécurité intégrés. Le protocole MCP adopte une architecture client–serveur où les clients LLM utilisent JSON-RPC pour solliciter des capacités auprès de serveurs MCP via trois briques : Tools (fonctions exécutables), Resources (données en lecture seule) et Prompts (gabarits d’instructions). Les vulnérabilités découlent d’une confiance implicite, de l’absence de validation d’entrées et de l’inexistence de contrôles d’accès natifs. Le design favorise la fonctionnalité en connectant des systèmes probabilistes (LLM) à des outils déterministes sans frontières de confiance imposées. ...

Selon une publication technique référencée sur embracethered.com, un chercheur en sécurité démontre une chaîne d’attaque permettant de détourner l’agent Devin AI via une injection de prompts indirecte pour exposer des systèmes de fichiers et services internes au public, sans correctif apparent plus de 120 jours après divulgation responsable. L’attaque s’appuie sur le détournement de l’outil système expose_port de Devin AI. En « Stage 1 », un serveur web Python est lancé localement pour exposer le système de fichiers sur le port 8000. En « Stage 2 », l’outil expose_port est invoqué automatiquement pour rendre ce service accessible publiquement via des domaines en .devinapps.com, puis l’URL d’accès est exfiltrée en exploitant des failles liées au rendu Markdown d’images. ...