DATA LEAK
(32)32 hack(s).
L'API Docker de Crawl4AI : des champs de requête qui exfiltrent vos clés LLM
Une faille de juillet 2026 dans un crawler LLM populaire laissait une requête non authentifiée choisir la destination des appels LLM et la variable d'environnement résolvant un jeton — fuite des clés API fournisseurs et du secret de signature du serveur.
Des instances de serveur MCP réutilisées fuitent d'un client à l'autre
Une faille de conception du SDK TypeScript officiel du Model Context Protocol permettait qu'un serveur ou un transport partagé achemine les résultats d'outils, notifications et requêtes de sampling d'un client vers un autre. Corrigé en 1.26.0.
RAG d'Open WebUI : une redirection qui atteint les identifiants du cloud
Un avis de fin juin 2026 montre que l'endpoint de récupération web d'Open WebUI ne vérifiait que la première URL : une redirection contrôlée par l'attaquant pouvait diriger la requête serveur vers les métadonnées cloud. Corrigé en 0.6.27.
Le endpoint de configuration de Cognee laissait n'importe quel compte repointer le fournisseur LLM de toute l'instance
Un avis de juillet 2026 montre que la plateforme de « mémoire IA » Cognee exposait une route de réglages sans contrôle admin : un compte auto-enregistré pouvait rediriger tous les appels LLM de l'instance vers un endpoint pirate et siphonner les données de tous les utilisateurs.
Loss Landscape Poisoning : faire mémoriser à un LLM un secret qu'il n'a jamais vu
Un papier de juin 2026 montre qu'un attaquant par empoisonnement de données peut forcer un LLM à mémoriser des enregistrements cibles auxquels il n'a jamais eu accès — et une technique de sondage les récupère même sous confidentialité différentielle.
Microsoft 365 Copilot : une redirection ouverte qui brouille la frontière entre locataires
Microsoft a divulgué début juillet 2026 une faille critique d'élévation de privilèges dans 365 Copilot. Une redirection ouverte permettait à un attaquant authentifié de franchir la frontière de confiance qui isole les données d'un locataire de celles d'un autre.
Des secrets qui fuient des serveurs MCP : détecter une exposition induite par le protocole
Une étude de fin juin 2026 a analysé statiquement 10 655 serveurs MCP réels : plus de 10 % laissent fuir des identifiants, des clés d'API ou des données personnelles — non par un appel sortant, mais simplement en retournant, journalisant ou levant des valeurs sensibles.
Mesurer ce qu'un système RAG laisse fuir de sa base de connaissances
Deux articles du printemps 2026 formalisent et mesurent l'extraction de la base d'un RAG : une requête composite « ancrage + commande » restitue les documents mot pour mot, et la fuite se décompose en deux causes indépendantes.
Les agents collectent plus qu'ils ne révèlent : auditer la vie privée au stade de l'acquisition
Un benchmark de juin 2026 inspecte le moment où les données sensibles entrent dans le contexte de l'agent, pas seulement ce qu'il divulgue ensuite — et la sur-collecte est répandue.
Pourquoi la vie privée d'un agent ne se protège pas au niveau de la réponse finale
Quand un agent LLM interroge des bases, récupère des documents et garde une mémoire entre sessions, les données sensibles fuient bien avant la réponse. Un état de l'art de juin 2026 cartographie où.
Deux tiers des applis iOS d'IA laissent fuir leurs identifiants LLM en clair
Une étude de Wake Forest sur 444 applis iOS d'IA en trouve 282 qui exposent des identifiants LLM exploitables — clés en clair, backends proxy ouverts, jetons rejouables — lisibles dans le trafic réseau. Trois mois après le signalement, seules 28 % avaient corrigé.
Dérive d'attention : pourquoi 80 % des applis LLM réelles fuient leur prompt système
Une étude de juin 2026 a mesuré 1 200 applications LLM en production : la plupart divulguent leur prompt système sur de simples requêtes adverses, à cause d'un mécanisme baptisé dérive d'attention.
Tâche accomplie, vie privée fuitée : les agents sur-partagent entre outils
Un benchmark de juin 2026 montre qu'un agent à outils peut accomplir sa tâche tout en transmettant discrètement des données privées inutiles à des outils intermédiaires — réussir ne veut pas dire respecter le besoin d'en connaître.
DifyTap : quatre failles d'autorisation exposent les conversations IA entre tenants de Dify
Zafran Labs a divulgué le 22 juin 2026 quatre failles DifyTap dans Dify — deux critiques, deux sans authentification, trois à impact cross-tenant — permettant d'écouter les conversations IA d'autres clients et de lire leurs fichiers. Trois sont corrigées en 1.14.2.
GeminiJack : exfiltration zéro-clic depuis Gemini Enterprise par injection de prompt
Divulguée en décembre 2025, GeminiJack permettait à un simple Doc partagé, une invitation d'agenda ou un e-mail d'exfiltrer silencieusement les données Gmail, Agenda et Docs via le RAG de Gemini Enterprise — la classe d'attaque que l'OWASP classe désormais en tête.
Reconstruction d'image : reconstituer des images privées depuis les embeddings d'un MLLM distribué
Un papier de juin 2026 montre qu'un participant passif d'un pipeline d'inférence MLLM distribué peut reconstituer l'image d'entrée de l'utilisateur à partir des embeddings qu'il relaie. En boîte noire, sans les poids du modèle.
Capacité contre propension : auditer la fuite de données d'entraînement
Un cadre de juin 2026, PropMe, distingue ce qu'un modèle PEUT divulguer sous attaque de ce qu'il VA divulguer en usage ordinaire. L'écart est large — et les audits qui l'ignorent faussent le risque réel.
Exfiltration côté serveur via les agents de recherche approfondie
Une instruction cachée dans un e-mail a suffi pour que l'agent Deep Research de ChatGPT exfiltre des données depuis le cloud d'OpenAI : sans rendu, sans action utilisateur, invisible pour les défenses réseau. Voici la classe et comment la contenir.
Ghost tool calls : l'exécution spéculative des agents fuite l'intention de l'utilisateur
Un papier arXiv de juin 2026 (2606.02483) montre que les agents qui pré-émettent spéculativement des appels d'outils pour masquer la latence fuitent l'intention déduite de l'utilisateur vers des services externes — et que c'est un problème de timing qu'aucune allow-list n'annule.
Inférence d'appartenance via le tokenizer d'un LLM : un nouveau vecteur
Un papier USENIX Security 2026 montre que le seul tokenizer d'un modèle peut révéler quels jeux de données ont servi au pré-entraînement — une attaque par inférence d'appartenance moins chère et sans modèle.
Canaux auxiliaires sur l'inférence LLM : vos prompts fuient malgré TLS
Le décodage spéculatif et les réponses en streaming créent des motifs de trafic qui révèlent le sujet d'un prompt, sa langue, parfois des données personnelles — à travers des connexions chiffrées. Tour d'horizon de trois papers et des défenses.
GraphSteal : reconstruire un graphe de connaissances privé depuis un Graph RAG
Un article publié le 27 mai 2026 montre que de simples requêtes en boîte noire transforment un système Graph RAG en oracle structurel, reconstruisant plus de 90 % de son graphe de connaissances caché.
MEntA : inférence d'appartenance sur un corpus RAG en cinq requêtes
Un papier USENIX Security de mai 2026 montre qu'un attaquant peut déterminer si un document figure dans le corpus de récupération d'un RAG avec environ cinq questions en langage naturel — sans modèle fantôme, sans gabarit, et en résistant aux défenses actuelles.
Exposition des traces de raisonnement : masquer le chain-of-thought ne le protège pas
Un papier de mai 2026 montre qu'un simple prompt suffit à faire ressortir le chain-of-thought masqué d'un modèle de raisonnement — et que les traces récupérées suffisent à distiller un modèle plus petit.
SearchLeak (CVE-2026-42824) : un clic transforme M365 Copilot en proxy d'exfiltration
Varonis a publié le 15 juin 2026 les mécanismes de CVE-2026-42824 : un lien microsoft.com piégé enchaîne injection de prompt, course au rendu HTML et SSRF Bing pour voler mails et codes MFA. Corrigé côté serveur.
L'injection continue de faire fuiter Copilot : deux nouveaux CVE de juin 2026
Le Patch Tuesday du 9 juin 2026 a livré CVE-2026-42824 et CVE-2026-47644 — deux failles de divulgation d'information de classe injection sur la surface Copilot, dans la lignée d'exfiltration ouverte par EchoLeak.
Fuite d'identifiants dans les skills d'agents LLM : une étude sur 17 000 skills
Une étude arXiv du 3 avril 2026 a analysé 17 022 skills d'agents et trouvé 520 fuites d'identifiants — 73,5 % via des logs de debug qui déversent les secrets directement dans le contexte du modèle.
Inversion de prompt : l'inférence LLM distribuée fuit, une défense rigoureuse arrive
Les attaques par inversion de prompt reconstruisent jusqu'à 88,4 % des tokens d'entrée depuis les activations intermédiaires. Un papier soumis le 10 juin 2026 propose la première défense informationnelle.
Contagion sociale : les agents LLM divulguent des données privées en environnement multi-agents
Une étude de mai 2026 simulant des milliers d'agents LLM montre que la fuite de données est socialement contagieuse : un agent divulgue ~8x plus après l'avoir vu faire par un pair, et les consignes de confidentialité réduisent sans éliminer le phénomène.
Trojan Hippo : des charges dormantes dans la mémoire d'un agent exfiltrent vos données
Un papier arXiv du 3 mai 2026 montre qu'un seul e-mail piégé suffit à implanter dans la mémoire d'un agent une charge dormante qui ne s'active que lorsque vous parlez de finance ou de santé — puis exfiltre ces données, jusqu'à 100 % de réussite.
Bleeding Llama : une faille de parsing GGUF expose la mémoire d'Ollama à des attaquants non authentifiés
Divulguée publiquement en mai 2026 et baptisée Bleeding Llama par Cyera, la CVE-2026-7482 permet à un attaquant distant d'extraire des fragments arbitraires du tas d'un serveur Ollama — clés d'API, system prompts, conversations d'autres utilisateurs — en trois appels d'API non authentifiés. Le patch silencieux a été publié 2,5 mois avant l'attribution de la CVE.
Extraction de system prompt via attaques par répétition
Demander au modèle de 'répéter le mot poème à l'infini' le fait éventuellement vomir des données d'entraînement et des system prompts. Documenté sur Claude 3, GPT-4 et Gemini.