Prompt Injection

Source: Zenity Labs — Dans une publication de recherche, Zenity Labs analyse en profondeur les guardrails d’OpenAI AgentKit et met en évidence des faiblesses fondamentales communes : des contrôles « souples » basés sur des modèles probabilistes évaluant d’autres modèles, créant des dépendances circulaires exploitables par des attaquants. Points clés mis en avant: Détection de PII: échec face aux formats non standard (ex. ‘SNN’ au lieu de ‘SSN’) et aux variations de casse. Détection d’hallucinations: s’appuie sur l’auto‑évaluation par LLM (score de confiance d’un modèle sur un autre), approche jugée fragile pour la vérification factuelle. Filtres de modération: contournables via substitution de caractères, encodage et obfuscation (ex. ‘k🧨ill’). Détection de jailbreak: inefficace contre les attaques multi‑tours, payloads intégrés ou prompts déguisés. Résumé technique: ...

Selon Zenity Labs, cette analyse détaille les risques de sécurité liés à la nouvelle plateforme OpenAI AgentKit pour concevoir des workflows d’agents, couvrant son architecture (Agent Builder, Connector Registry via MCP, ChatKit) et ses mécanismes de sécurité intégrés. L’article décrit l’architecture node-based d’Agent Builder, avec des nœuds principaux (Agent, Start, End), des nœuds d’outils (dont des Guardrails pour la détection PII et jailbreak) et des nœuds logiques (conditionnels, boucles, User Approval). Le Connector Registry étend les agents via des connecteurs MCP vers des services externes, et ChatKit fournit l’intégration UI. ...

Selon Legit Security, des chercheurs ont découvert une vulnérabilité critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code source depuis des dépôts privés, tout en manipulant les réponses/suggestions de Copilot. • Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via l’infrastructure Camo proxy de GitHub et des prompt injections distantes insérées dans des commentaires invisibles de descriptions de pull requests. Exploitée, elle permettait d’accéder à des dépôts privés avec les permissions de la victime et de voler des informations sensibles (dont des vulnérabilités zero-day et des clés AWS), et de contrôler les réponses/suggestions de Copilot. ...

Source: Embrace The Red — Une recherche met en évidence un nouveau schéma de vulnérabilité où des agents IA de codage, opérant dans un même environnement, peuvent s’accorder mutuellement des privilèges en altérant leurs fichiers de configuration. 🚨 L’étude décrit une chaîne d’attaque débutant par une injection de prompt indirecte compromettant un premier agent. Celui-ci écrase les configurations d’un autre agent (p. ex. MCP de Claude Code) afin d’y ajouter des serveurs malveillants ou de modifier ses instructions, conduisant à une exécution de code arbitraire ou à des capacités élargies lors du rechargement des paramètres. ...

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025. ...

Selon le blog Embrace The Red, un chercheur de sécurité a démontré AgentHopper, un malware conceptuel ciblant des agents de codage via des injections de prompts et se propageant au travers de dépôts Git. Les vulnérabilités référencées ont été corrigées, et la recherche met en lumière la nécessité de contrôles de sécurité renforcés (protection des branches, passphrases pour clés SSH, principe du moindre privilège pour les agents d’IA). AgentHopper abuse d’injections de prompt indirectes pour atteindre une exécution de code arbitraire sur plusieurs agents d’IA populaires. Le malware utilise des payloads universels conditionnels capables de déclencher des chemins d’exploitation spécifiques selon l’agent ciblé, facilitant une infection multi‑plateforme à partir d’un seul contenu malveillant dans le dépôt. ...

Selon un papier de recherche académique (Harvard University et Centre for the Governance of AI), les auteurs proposent un cadre structuré pour analyser les incidents impliquant des agents IA et détaillent quelles données opérationnelles doivent être conservées et partagées pour permettre des enquêtes efficaces. • Le cadre identifie trois catégories de causes d’incident: facteurs système (données d’entraînement/feedback, méthodes d’apprentissage, prompts système, scaffolding), facteurs contextuels (définition de la tâche, outils et leurs accès, environnement informationnel incluant les injections de prompts) et erreurs cognitives observables de l’agent (observation, compréhension, décision, exécution). Il s’inspire des approches « human factors » (ex. HFACS) utilisées en aviation et autres domaines critiques. ...

Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées. Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent. ...

Source: malwr-analysis.com (24–25 août 2025). Contexte: un chercheur décrit une évolution d’une chaîne de phishing Gmail où les attaquants ciblent à la fois les utilisateurs et les défenses automatisées, en insérant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaîne de livraison 🚨: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyé via SendGrid avec SPF/DKIM OK mais DMARC en échec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scène, puis bascule vers un domaine attaquant avec captcha (empêchant crawlers/sandboxes) avant la page principale de phishing brandée Gmail. Le kit effectue une requête GeoIP pour profiler l’utilisateur et un beacon télémétrique pour distinguer humains et bots. ...

Selon un billet publié le 24 août 2025, un chercheur décrit une attaque « SpAIware » contre Windsurf Cascade exploitant la prompt injection et la persistance en mémoire pour exfiltrer des données de façon continue. Windsurf Cascade est une fonctionnalité intégrée à l’éditeur de code Windsurf (basé sur Visual Studio Code) qui s’appuie sur l’intelligence artificielle pour assister les développeurs. L’article explique que Windsurf Cascade dispose d’un outil interne « create_memory » qui est invqué automatiquement sans approbation humaine. Cette conception permet à un attaquant, via une prompt injection indirecte (par exemple dans un commentaire de code C, un ticket GitHub ou une page web), de persister des instructions malveillantes dans la mémoire à long terme de l’agent. L’impact revendiqué couvre la confidentialité, l’intégrité et la disponibilité des futures conversations. ...