Aller au contenu
Kreomnis.Vigie
← Toutes les analyses

Quand le prompt devient un shell : l'IA agentique, surface d'attaque de 2026

14/06/2026 · Kreomnis

En 2026, une famille de vulnérabilités s'est imposée si vite qu'elle mérite qu'on la regarde comme un tout plutôt que CVE par CVE. Le fil conducteur tient en une phrase : dans un système IA, la frontière entre les données et les instructions a disparu. Le contenu que votre agent lit, un e-mail, un document, une URL d'image, un enregistrement de base vectorielle, peut devenir une commande. Le prompt devient un shell.

Le patient zéro : EchoLeak

Tout part de EchoLeak (CVE-2025-32711), juin 2025. Première injection de prompt zéro-clic weaponisée pour une exfiltration de données concrète dans un produit IA en production (M365 Copilot). La victime n'a rien à faire : un e-mail piégé suffit, Copilot l'ingère, et des données sortent. EchoLeak a posé le concept que toute la vague 2026 décline : l'exploit s'écrit en langage naturel.

La déclinaison 2026 : cinq mécaniques, une même faille de fond

L'injection de prompt qui ouvre un shell

Microsoft Semantic Kernel (CVE-2026-25592 & -26030), CVSS 9.9. Côté .NET, une fonction de téléchargement sur-exposée au modèle écrit un fichier dans le dossier de démarrage. Côté Python, un enregistrement malveillant dans un corpus RAG passe par un eval() et exécute du code. Le contenu ingéré devient instruction exécutable.

Le détournement de l'outillage agentique (MCP)

Windsurf / MCP (CVE-2026-30615). Une page ouverte par l'IDE réécrit la configuration MCP locale et y greffe un serveur malveillant, sans clic. OX Security a montré que la faille est architecturale, pas locale : elle touche tout l'écosystème (Cursor, VS Code, Claude Code, Gemini-CLI). Anthropic a renvoyé la responsabilité de l'assainissement au développeur. Le « shadow MCP server » est le nouveau point de persistance sur le poste de dev.

La gateway IA comme trousseau de clés

LiteLLM (CVE-2026-42271), CVSS 8.7, au KEV. Un endpoint de test MCP acceptait une config command/args/env lancée en sous-processus. Une instance compromise expose les clés API de tous les fournisseurs connectés (OpenAI, Anthropic, Mistral). Centraliser l'accès aux modèles concentre aussi le risque.

L'IA comme proxy d'attaque

LMDeploy (CVE-2026-33626). Le moteur d'inférence charge une URL d'image sans valider les adresses internes : SSRF vers le réseau interne et les métadonnées cloud. Donner à un modèle le pouvoir d'aller chercher une URL, c'est lui donner une primitive de requête côté serveur.

Et l'aboutissement : l'attaquant n'est plus humain

marimo (CVE-2026-39987). Une RCE pré-auth classique, mais la post-exploitation du 10 mai a été pilotée de bout en bout par un agent LLM : quatre pivots autonomes, base PostgreSQL exfiltrée en 113 secondes. L'IA n'est plus seulement la cible ou l'outil de l'attaque : elle en est l'opérateur.

Ce que ça change pour la défense

Trois constats transverses.

  1. Le modèle de menace classique ne couvre pas ce vecteur. WAF, signatures, antivirus cherchent du code hostile. Ici, l'entrée hostile est du texte ou un enregistrement de données. Vos contrôles applicatifs traditionnels sont aveugles à l'injection de prompt.

  2. Tout ce qu'un agent peut faire, un attaquant peut le détourner. Chaque fonction exposée au modèle ([KernelFunction], plugin, outil MCP), chaque source ingérée (RAG, e-mail, page web), chaque capacité réseau (fetch d'URL) est une surface d'attaque. Inventoriez-les comme des endpoints.

  3. La vitesse est désormais machine. L'incident marimo l'a prouvé : 68 minutes de la RCE au dump. Les playbooks pensés pour un analyste au clavier sont déjà en retard. La réponse doit être comportementale et automatisée.

La checklist Kreomnis pour un déploiement d'agents

  • Traitez tout contenu ingéré comme non fiable : e-mails, documents, corpus RAG, pages web. Jamais d'eval() ni d'unserialize() sur de l'entrée, validation stricte des chemins/URL/commandes.
  • Cloisonnez l'exécution des agents : bac à sable réel, droits minimaux, pas d'écriture en zone d'auto-démarrage, pas de creds cloud en clair sur l'hôte.
  • Gouvernez les gateways IA comme des coffres : accès admin/preview jamais exposés, clés cloisonnées par fournisseur, rotation en un clic.
  • Surveillez les configurations MCP comme des tâches planifiées : alerte sur toute modification non sollicitée.
  • Filtrez le réseau des moteurs d'inférence : pas d'accès aux plages internes ni aux métadonnées cloud (IMDSv2 obligatoire).
  • Détectez à la vitesse machine : egress anormal, accès secret manager, création de sous-processus par un service LLM, rafales SSH.

Le mot de la fin

EchoLeak était une curiosité de chercheurs en 2025. En 2026, c'est une classe d'attaque mature, exploitée, parfois pilotée par l'IA elle-même. La question n'est plus « est-ce que ça arrive » mais « avez-vous cartographié ce que vos agents lisent, exécutent et atteignent sur le réseau ».

Pour le versant gestion de la dette et tempo de patch, voir aussi de la divulgation à l'exploitation en heures.

  • Kreomnis
#ia-agentique#prompt-injection#mcp#llm#supply-chain-ia