système : OPÉRATIONNEL
← retour aux catégories

INDIRECT INJECTION

(37)

37 hack(s).

INDIRECT INJECTION MEDIUM NEW

Ghostcommit : l'injection de prompt cachée dans une image que les relecteurs IA n'ouvrent jamais

Divulguée le 11 juillet 2026, Ghostcommit dissimule une instruction d'exfiltration dans un PNG référencé par un fichier AGENTS.md, passe sous le radar des relecteurs IA qui ne lisent que les diffs, puis conduit un agent de code jusqu'au .env d'un dépôt.

2026-07-14//6 min
INDIRECT INJECTION CRITICAL NEW

GitLost : une simple issue publique fait fuiter des dépôts privés via un workflow agentique GitHub

Le 7 juillet 2026, Noma Security a montré qu'une seule issue publique peut amener un GitHub Agentic Workflow disposant d'un accès en lecture à l'échelle de l'organisation à recopier le contenu d'un dépôt privé dans un commentaire public — sans aucun identifiant.

2026-07-13//6 min
INDIRECT INJECTION MEDIUM NEW

Injection indépendante de la requête : détourner un agent de code quoi qu'on lui demande

Un article de fin 2025 montre qu'une charge cachée dans les descriptions d'outils d'un agent de code se déclenche pour n'importe quelle requête — car elle vise le contexte invariant, pas la question. Une défense de juin 2026 riposte au niveau de l'arbre syntaxique.

2026-07-13//6 min
INDIRECT INJECTION MEDIUM NEW

Agent Card Poisoning : quand les métadonnées A2A détournent le routage

Dans le protocole A2A de Google, un agent distant malveillant peut cacher des instructions dans sa carte d'agent pour que le LLM hôte lui route les tâches et fuite les données de l'utilisateur pendant une délégation normale.

2026-07-08//7 min
INDIRECT INJECTION MEDIUM NEW

Injection par transition de sujet : faire passer une instruction dans un système RAG par un pivot en douceur

Une attaque de recherche montre qu'amener progressivement le sujet d'un document vers une instruction cachée rend l'injection indirecte bien plus efficace — et pointe vers la surveillance du ratio d'attention comme défense.

2026-07-08//6 min
INDIRECT INJECTION MEDIUM NEW

Agent Data Injection : forger des métadonnées de confiance dans le contexte de l'agent

Un article de juillet 2026 introduit l'agent data injection : des « délimiteurs probabilistes » font passer du contenu non fiable pour des métadonnées de confiance, contournant les défenses anti-injection d'instruction sur de vrais agents de code et web.

2026-07-07//8 min
INDIRECT INJECTION MEDIUM NEW

HashJack : injection de prompt via le fragment d'URL contre les assistants de navigation IA

Une technique divulguée cache des instructions après le # d'une URL légitime. Le navigateur IA transmet le fragment au contexte de l'assistant, transformant tout site de confiance en vecteur d'injection invisible aux défenses réseau.

2026-07-07//6 min
INDIRECT INJECTION MEDIUM NEW

Injection de prompt via les métadonnées des fichiers téléversés dans les pipelines RAG

Champs EXIF, propriétés « auteur » des PDF, métadonnées des documents Office : nombreux sont les pipelines RAG à les ingérer aux côtés du texte. Les instructions qu'on y cache sont suivies presque aussi souvent. Un canal d'injection discret.

2026-07-07//6 min
INDIRECT INJECTION MEDIUM NEW

Détourner la chaîne de raisonnement : empoisonnement en boîte noire du RAG agentique

Un article de juillet 2026 montre qu'un attaquant capable seulement de publier des documents web peut détourner le raisonnement multi-étapes d'un système RAG agentique — sans accès aux prompts, au retriever ni aux poids.

2026-07-06//6 min
INDIRECT INJECTION MEDIUM NEW

Comment un dépôt propre pousse un agent de code à ouvrir un reverse shell

L'équipe 0DIN de Mozilla a montré qu'un dépôt public sans aucun code malveillant peut amener Claude Code à ouvrir un reverse shell — la charge réelle n'est jamais dans le dépôt, elle est récupérée à l'exécution depuis un enregistrement DNS.

2026-07-05//6 min
INDIRECT INJECTION MEDIUM NEW

Un malware qui injecte l'IA de l'analyste, pas le sandbox

SentinelOne a documenté un implant macOS qui embarque de faux messages d'erreur système pour faire douter un agent de triage assisté par LLM et l'amener à abandonner l'analyse.

2026-07-05//6 min
INDIRECT INJECTION MEDIUM NEW

InkJect : du texte caché dans une image déjoue les garde-fous des VLM de pointe

La recherche InkJect de DeepKeep dissimule des instructions dans des images — texte blanc sur blanc, déformé pour tromper l'OCR — pour que les modèles visuels exécutent des ordres que leurs filtres textuels auraient bloqués.

2026-07-03//6 min
INDIRECT INJECTION MEDIUM NEW

Des sites empoisonnés au SEO cachent une injection pour détourner les agents web IA

Zscaler ThreatLabz a repéré des sites malveillants actifs qui combinent empoisonnement SEO, texte masqué en CSS et balisage schema détourné pour glisser des instructions poussant les agents web autonomes à payer les attaquants.

2026-07-03//6 min
INDIRECT INJECTION MEDIUM NEW

AutoDojo : pourquoi les tâches « action ouverte » font tomber les défenses anti-injection

Un papier de juin 2026 transforme AgentDojo en benchmark adaptatif : un attaquant boîte noire bon marché récupère 28 % des injections bloquées — et 64 % sur les tâches qui délèguent l'action au contenu attaquant.

2026-07-02//8 min
INDIRECT INJECTION MEDIUM NEW

Injection par objets de messagerie : la faille de sérialisation des assistants IA

Imperva a montré (10 juin 2026) que contacts, vCards et points de géolocalisation sont aplatis directement dans le prompt d'un assistant IA, sans frontière de contenu non fiable — un vecteur d'injection structurel, corrigé dans OpenClaw 2026.4.23.

2026-06-21//6 min
INDIRECT INJECTION MEDIUM NEW

ChatGPhish : le Markdown non fiable transforme les résumés ChatGPT en hameçonnage

Permiso a divulgué ChatGPhish le 29 mai 2026 : une page que vous demandez à ChatGPT de résumer peut afficher liens piégés, fausses alertes, QR codes et pixels traceurs dans l'interface de confiance.

2026-06-20//7 min
INDIRECT INJECTION MEDIUM NEW

TRAP : la persuasion détourne les agents web de leur propre tâche

Un benchmark d'Oxford mis à jour sur arXiv en juin 2026 montre que les agents web obéissent à des techniques de persuasion à la Cialdini cachées dans la page, abandonnant leur tâche dans 25% des cas en moyenne, jusqu'à 43% pour le modèle le plus faible.

2026-06-20//6 min
INDIRECT INJECTION MEDIUM NEW

Injection par le canal d'erreur : quand les messages d'erreur des outils font autorité

Un papier de juin 2026 (VATS) montre qu'injecter des instructions dans les messages d'erreur des outils triple le taux de réussite de l'injection indirecte sur les agents de pointe — jusqu'à 100 % de conformité — car les modèles traitent la sortie d'erreur comme faisant autorité.

2026-06-19//6 min
INDIRECT INJECTION MEDIUM NEW

Le local n'est pas plus sûr : l'injection indirecte frappe LLM locaux et cloud

Les travaux de Brave du 8 juin 2026 montrent que l'injection de prompt indirecte fonctionne à l'identique contre un agent cloud (Mozilla Tabstack) et un autocomplétion sur appareil (Cotypist) : l'hébergement local n'est pas une mitigation.

2026-06-19//6 min
INDIRECT INJECTION CRITICAL NEW

LogJack : les logs cloud, canal d'injection de prompt contre les agents de débogage

Un benchmark d'avril 2026 montre que les agents de débogage LLM qui lisent les logs cloud et exécutent des correctifs obéissent aux instructions cachées dans les lignes de log — exécution verbatim jusqu'à 86,2 %, RCE sur 6 modèles sur 8, et des garde-fous fournisseurs qui ne détectent presque rien.

2026-06-17//6 min
INDIRECT INJECTION MEDIUM NEW

MIRAGE : les agents GUI mobiles trompés par du contenu utilisateur injecté

Une étude de mai 2026 montre que les agents GUI mobiles fondés sur des VLM ne distinguent pas l'interface de confiance du contenu utilisateur. Du texte réaliste injecté dans des commentaires détourne les cinq agents testés (23–30 % de réussite).

2026-06-17//6 min
INDIRECT INJECTION CRITICAL NEW

Agentjacking : de faux bugs Sentry détournent les agents de code via MCP

La recherche de Tenet Security (juin 2026) montre qu'un attaquant peut injecter une fausse erreur Sentry que les agents de code lisent via MCP et exécutent, exfiltrant des secrets avec 85 % de réussite sur 2 388 organisations exposées.

2026-06-16//8 min
INDIRECT INJECTION MEDIUM NEW

Cross-App Context Poisoning : une app ChatGPT malveillante peut piloter les autres

Une étude arXiv de juin 2026 montre qu'une app ChatGPT malveillante peut écrire dans le contexte de conversation partagé par toutes les apps connectées via des API first-party, transformant le modèle en député confus.

2026-06-16//6 min
INDIRECT INJECTION MEDIUM NEW

Profondeur d'injection dans les agents ReAct : la position prime sur la formulation

Une étude de juin 2026 sur les agents ReAct à appels d'outils montre que c'est la profondeur d'injection — pas la rhétorique — qui pilote l'injection indirecte : 60 % de réussite au premier appel d'outil, 0 % au quatrième.

2026-06-15//6 min
INDIRECT INJECTION MEDIUM NEW

DACSI : quand les documents récupérés falsifient les signaux de contrôle du système

Un papier du 8 juin 2026 nomme un mode de défaillance discret du RAG : du texte non fiable qui usurpe les signaux de métadonnées, de provenance et de politique. Pas besoin d'« ignore previous instructions » — la leçon : un label écrit dans un document est une donnée, pas une politique.

2026-06-12//6 min
INDIRECT INJECTION MEDIUM NEW

Le paradoxe de l'injection : quand une injection de prompt se retourne et efface une marque dans le RAG

Un préprint arXiv du 8 juin 2026 montre qu'une injection de prompt dans un document récupéré peut se retourner sur les modèles Claude alignés, faisant chuter une marque de 54 % à 0 % de recommandation — ouvrant une contre-attaque visant les concurrents.

2026-06-11//7 min
INDIRECT INJECTION MEDIUM NEW

Decision Hijacking : injecter le LLM qui classe vos résultats de recherche

Une série de travaux 2025-2026 montre que lorsqu'un LLM reclasse des candidats de recherche ou de RAG, quelques lignes injectées dans un seul document suffisent à le propulser en tête — la qualité du classement s'effondre de plus de 60 points NDCG, et les modèles les plus puissants sont les plus vulnérables.

2026-06-07//7 min
INDIRECT INJECTION MEDIUM NEW

AgentRedBench : l'injection indirecte dans les agents SaaS est un défaut d'autorisation

AgentRedBench (juin 2026) red-team des agents LLM qui lisent des outils SaaS comme Gmail et Jira. Sans garde-fou, le taux de réussite des attaques va de 32 % à 81 % sur huit modèles de pointe, avant qu'un classifieur de réponses d'outils ne le réduise.

2026-06-05//7 min
INDIRECT INJECTION MEDIUM NEW

Empoisonnement de description : le canal d'agent que vos benchmarks ne testent pas

Une démo AWS Bedrock AgentCore de mai 2026 et un paper arXiv de juin 2026 convergent sur le même angle mort : les descriptions d'outils, lues avant chaque appel, sont un canal d'injection que les contrôles d'infra et les benchmarks à un seul chiffre ignorent.

2026-06-04//6 min
INDIRECT INJECTION MEDIUM NEW

ChatInject : forger les balises de rôle du chat template pour contourner la hiérarchie d'instructions

Un article d'ICLR 2026 montre qu'envelopper une charge d'injection indirecte dans les tokens du chat template d'un modèle forge un rôle prioritaire et fait passer le taux de succès de 5 % à 32 % sur AgentDojo, et jusqu'à 52 % en multi-tour.

2026-06-03//8 min
INDIRECT INJECTION MEDIUM NEW

IPI Arena : 272 000 attaques, aucun modèle d'agent épargné

L'Indirect Prompt Injection Arena de Gray Swan, jugée avec l'UK AISI et l'US CAISI, a lancé plus de 272 000 attaques contre 13 modèles de pointe. Tous ont été détournés — et un seul gabarit universel en a cassé neuf.

2026-06-02//7 min
INDIRECT INJECTION MEDIUM NEW

Silent Egress : l'injection implicite fait fuiter vos données via les aperçus d'URL

Une étude eBay (arXiv, 25 février 2026) montre qu'un agent qui prévisualise automatiquement les URL peut être amené à exfiltrer son contexte d'exécution par appels d'outils — P(egress)≈0,89, et 95 % des fuites laissent la réponse visible parfaitement anodine.

2026-06-02//8 min
INDIRECT INJECTION MEDIUM NEW

GrafanaGhost : injection indirecte de prompt et bug de parsing d'URL pour exfiltrer les données des tableaux de bord

La divulgation du 7 avril 2026 par Noma Security montre comment trois défauts modestes — un point d'injection stocké, un contrôle startsWith('/') et un bypass de garde-fou en un mot — se combinent en un canal d'exfiltration silencieux via l'assistant IA de Grafana.

2026-05-28//7 min
INDIRECT INJECTION MEDIUM NEW

IterInject : quand un LLM optimise lui-même ses injections de prompt indirectes

Un papier du 23 mai 2026 boucle la chaîne payload / diagnostiqueur / optimiseur LLM — l'ASR d'injection indirecte passe de quasi-zéro à 33–90 % sur InjecAgent, et 5 cibles sur 9 sont compromises sur Claude Code.

2026-05-28//6 min
INDIRECT INJECTION MEDIUM

XSS Discourse AI (CVE-2026-27740) : quand la sortie d'un LLM est traitée comme du HTML de confiance

Un message signalé, un modérateur IA, un appel à htmlSafe. Le plugin Discourse AI traitait la sortie LLM comme du markup de confiance, transformant une prompt injection indirecte en XSS côté staff. Publié le 19 mars 2026.

2026-05-26//7 min
INDIRECT INJECTION MEDIUM

Injection indirecte de prompt : trois études d'avril 2026 convergent

Google, Forcepoint et le CISPA ont mesuré indépendamment l'injection indirecte de prompt sur le web ouvert en avril 2026. Bilan : plus de 15 000 payloads validés, +32 % de croissance, modèles industrialisés.

2026-05-25//7 min
INDIRECT INJECTION MEDIUM

ShareLeak (CVE-2026-21520) : le premier CVE assigné par Microsoft à une injection de prompt Copilot

Divulgué le 15 avril 2026, le write-up ShareLeak de Capsule Security décrit une injection indirecte de prompt dans Microsoft Copilot Studio. Microsoft a assigné CVE-2026-21520 (CVSS 7.5) — une première qui requalifie la prompt injection en classe de vulnérabilité suivie.

2026-05-25//7 min