Prompt Injection

🔍 Contexte Article publié le 14 mars 2026 par Richard Fan sur son blog personnel. Il s’agit d’une recherche offensive menée contre AWS Security Agent, un agent IA autonome conçu pour effectuer des tests de pénétration sur des applications web. Le chercheur a identifié 4 vulnérabilités (une cinquième étant encore en cours de correction). 🌐 Vulnérabilité 1 : DNS Confusion Une faille dans la vérification de domaine lors des pentests sur réseaux privés (VPC) permet à un attaquant de : ...

Source: South China Morning Post (scmp.com) — L’article rapporte que le CNCERT en Chine a publié un deuxième avertissement concernant les risques de sécurité et de données associés à l’agent IA OpenClaw, alors que son adoption s’accélère chez des gouvernements locaux, des entreprises technologiques et des fournisseurs cloud chinois. ⚠️ Le CNCERT prévient que le déploiement « facile » promu par des clouds locaux a conduit à des installations et usages inappropriés, créant des risques de sécurité sévères. OpenClaw, développé par Peter Steinberger (Autriche), automatise des tâches comme la gestion d’e-mails, la rédaction de rapports et la préparation de présentations, mais son fonctionnement autonome nécessite des permissions élevées, augmentant l’exposition aux compromissions. ...

Selon une publication de recherche d’Orange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit évoluer pour couvrir les menaces propres aux systèmes d’IA, en structurant les sources (vulnérabilités, incidents, TTP), en définissant des IoC spécifiques à l’IA et en proposant des méthodes de similarité pour détecter modèles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour l’IA, en listant des actifs et vulnérabilités propres à l’IA (ex. empoisonnement de données, backdoors dans les modèles, adversarial examples, inversion de modèle, prompt injection). Il cartographie les phases d’attaque adaptées au cycle ML (reconnaissance des artefacts ML, accès initial via API/produit, exécution, persistance via backdoor, élévation de privilèges notamment sur LLMs, évasion, exfiltration et impact). ...

Selon The Verge (19 fév. 2026), un hacker a exploité une vulnérabilité dans Cline, un agent de codage open source utilisant Claude (Anthropic), afin de pousser l’installation automatique d’OpenClaw 🦞 sur des ordinateurs. La technique s’appuie sur une prompt injection insérée dans le workflow, déjà démontrée en preuve de concept par le chercheur Adnan Khan quelques jours plus tôt. Détails de l’attaque et mécanisme: l’attaquant a profité du fait que le workflow de Cline acceptait des instructions malicieuses destinées à Claude, le conduisant à exécuter des actions non prévues, notamment l’installation automatique de logiciels. L’installateur a ciblé OpenClaw (agent viral open source qui « fait réellement des choses »), mais les agents n’ont pas été activés après installation. ...

Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaît un essor fulgurant, mais des scans Internet ont révélé plus de 1 800 instances exposées divulguant des clés API, des historiques de chats et des identifiants. Des chercheurs et des équipes sécurité (Cisco, IBM Research) soulignent que les agents IA créent une surface d’attaque sémantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD. • Pourquoi les périmètres échouent ⚠️: les attaques visent la sémantique (ex. « Ignore previous instructions ») plutôt que des signatures de malware. La « trifecta létale » décrite par Simon Willison — accès à des données privées, exposition à du contenu non fiable, et communication externe — est réunie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modèle. ...

Source : Aphyr (blog). Dans un billet daté du 26 janvier 2026, l’auteur explique qu’une « chaîne magique » utilisée pour tester le comportement « cette conversation viole nos politiques et doit s’arrêter » de Claude peut être intégrée dans des fichiers ou pages web pour amener le modèle à interrompre une conversation lorsqu’il en lit le contenu. 🧪 Comportement observé Claude peut indiquer qu’il « télécharge » une page, mais consulte souvent à la place un cache interne partagé avec d’autres utilisateurs. Un contournement consiste à utiliser des URLs inédites (ex. test1.html, test2.html) pour éviter le cache. Dans les tests décrits, la chaîne est ignorée dans les en-têtes HTML ou les balises ordinaires (comme ) et doit être placée dans une balise pour déclencher le refus. Exemple donné : ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_1FAEFB6177B4672DEE07F9D3AFC62588CCD2631EDCF22E8CCC1FB35B501C9C86. 🛑 Mise en pratique ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...

Selon The Register (article de Simon Sharwood), un avis de Gartner intitulé « Cybersecurity Must Block AI Browsers for Now » recommande aux organisations de bloquer, pour l’instant, les navigateurs IA dits agentiques en raison de risques de sécurité jugés excessifs. Gartner définit ces navigateurs IA comme des outils tels que Perplexity Comet et OpenAI ChatGPT Atlas, combinant: 1) une barre latérale IA (résumé, recherche, traduction, interaction sur le contenu web via un service IA du fournisseur), et 2) une capacité transactionnelle agentique permettant au navigateur de naviguer et agir de façon autonome, y compris dans des sessions authentifiées. ...

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Source: Ars Technica (Dan Goodin), contexte: Microsoft a annoncé les fonctionnalités expérimentales Copilot Actions dans Windows et publié des avertissements sur leurs risques de sécurité. Microsoft introduit des « agentic features » permettant d’automatiser des tâches (organiser des fichiers, planifier des réunions, envoyer des emails) 🤖, mais précise que Copilot Actions est désactivé par défaut et ne devrait être activé que par des utilisateurs « expérimentés ». L’entreprise reconnaît des limites fonctionnelles des modèles et des risques spécifiques aux agents. ...