SUPPLY CHAIN
(43)43 hack(s).
Chat templates piégés : des portes dérobées à l'inférence dans les modèles GGUF
Des travaux du début 2026 montrent qu'un chat template Jinja2 piégé, embarqué dans un modèle GGUF, peut injecter silencieusement des instructions cachées à l'inférence — en passant les scans classiques des hubs de modèles alors que les poids restent sains.
Scanners de skills contournés : les limites de l'analyse statique
Trail of Bits a fait passer quatre skills malveillants devant ClawHub, le scanner de Cisco et skills.sh en moins d'une heure chacun. La leçon : un scanner statique ne peut pas servir de frontière de confiance.
Phantom squatting : enregistrer les domaines web que les LLM hallucinent
Fin juin 2026, l'Unit 42 de Palo Alto a nommé le « phantom squatting » : des attaquants enregistrent les domaines inexistants que les modèles inventent de façon fiable, héritant de la confiance placée dans les liens suggérés par l'IA.
Le fossé du patch open source à l'ère de l'IA : la découverte dépasse la correction
L'IA découvre désormais les vulnérabilités open source bien plus vite que les mainteneurs ne peuvent les corriger. Une analyse de juillet 2026 évalue le ratio découverte/correction à environ 16,5 pour 1 — élargissant la fenêtre que les défenseurs doivent gérer.
HalluSquatting : détourner les noms hallucinés pour créer des botnets d'agents
Un attaquant peut préenregistrer les noms de dépôts et de skills que les agents de code hallucinent de façon prévisible, transformant un simple « clone ce repo » en exécution de code à grande échelle.
Un serveur MCP sur trois est une passerelle SSRF vers vos métadonnées cloud
Deux analyses d'écosystème publiées en 2026 trouvent du server-side request forgery dans une large part des serveurs MCP publics — et montrent que les étoiles, l'activité et les badges « vérifié » ne prédisent pas lesquels sont sûrs.
PhantomSkill : déguiser une charge malveillante en simple faille
Un article de juin 2026 montre qu'un attaquant peut maquiller la charge malveillante d'un skill d'agent en vulnérabilité déclenchable dans un script auxiliaire — passant la revue du SKILL.md et réduisant la détection de type malware, tout en gardant le skill pleinement fonctionnel.
ShareLock : le poisoning à seuil disperse un payload MCP sur plusieurs outils
Un article de juin 2026 découpe une instruction MCP malveillante en parts d'apparence anodine réparties sur plusieurs descriptions d'outils, déjouant les scanners par outil tout en gardant plus de 90 % de réussite.
Les skills d'agents ont des dépendances cachées : le risque transitif des chaînes d'approvisionnement
Une étude de juillet 2026 portant sur 1,43 million de skills d'agents montre que l'essentiel du risque de sécurité se cache dans des dépendances transitives qu'un relecteur ne voit jamais en lisant le seul fichier de skill.
Les scanners statiques ratent les skills malveillants repaquagés — l'audit à l'exécution les détecte
Une étude de juillet 2026 montre qu'un repaquage adaptatif contourne plus de 90 % des scanners de skills d'agent, et soutient que c'est l'audit comportemental à l'exécution, pas l'inspection d'apparence, qui détecte réellement le malware.
Claude Code Action : une confiance aveugle aux « bots » ouvrait une faille de supply chain
Un chercheur a montré que Claude Code GitHub Action faisait confiance à tout acteur finissant par [bot], permettant à une GitHub App auto-enregistrée de déclencher des workflows en mode agent sur des dépôts publics et d'enchaîner injection de prompt et vol de jeton OIDC. Corrigé en v1.0.94.
Abus de LLMO : piéger les agents de code IA via la doc des paquets
Le rapport PromptMink de ReversingLabs (juin 2026) montre un groupe nord-coréen rédigeant la documentation de paquets npm pour paraître crédible aux agents de code LLM, afin que l'agent recommande et installe une dépendance malveillante.
Quand une skill d'agent piégée se cache dans les fausses alertes
De nouveaux travaux montrent une attaque par empoisonnement de skill « position-aware » qui fond des instructions malveillantes dans la prose ordinaire d'une skill, et passe sous le radar de scanners LLM qui alertent déjà à tort sur la plupart des skills saines.
SkillMutator : l'attaque cachée entre le texte et le code d'une skill d'agent
Un benchmark de juin 2026 montre qu'une skill d'agent peut être malveillante dans l'interaction entre ses instructions en langage naturel et ses scripts — passant à la fois la détection d'injection de prompt et la revue de code, tout en poussant l'agent à exfiltrer des fichiers.
Une fausse extension Perplexity transforme une marque d'IA en mouchard de recherche
Microsoft a repéré une extension Chromium usurpant Perplexity qui réacheminait chaque frappe de la barre d'adresse vers le serveur d'un attaquant avant d'afficher les vrais résultats — sans faille de navigateur, juste une confiance détournée et des permissions Manifest V3.
L'outil que vous avez validé n'est pas celui qui tourne : le rug-pull des descriptions MCP
La recherche de Microsoft du 30 juin 2026 montre qu'un outil MCP validé peut être discrètement redécrit après revue. Comme les agents relisent les descriptions à chaque tour, un outil sain devient un canal d'exfiltration, sans aucune alerte.
Bucket squatting dans Vertex AI : la RCE cross-tenant « Pickle in the Middle »
Unit 42 a divulgué (16 juin 2026) une faille du SDK Python Vertex AI : un nom de bucket de staging prévisible et l'absence de vérification de propriété permettaient de détourner l'upload d'un modèle et d'obtenir une exécution de code cross-tenant. Corrigé en v1.148.0.
Les skills d'agent sont une chaîne d'approvisionnement : malware et injection dans SKILL.md
Un audit de février 2026 de ~4 000 skills d'agent a trouvé 13,4 % de cas critiques et 76 charges malveillantes en ligne. SKILL.md est désormais une supply chain — voici comment la trier.
Prise de contrôle du scope npm Mastra : un compte de mainteneur dormant empoisonne un framework d'agents IA
Le 17 juin 2026, un compte de contributeur oublié a republié tout le scope npm @mastra — environ 142 paquets — avec une dépendance malveillante qui installe un voleur de cryptomonnaie et un RAT. Un identifiant périmé, pas un zero-day.
Les chat templates sont du code : injection Jinja2 (SSTI) dans les serveurs d'inférence LLM
Le bulletin VU#915947 du CERT/CC (20 avril 2026) documente CVE-2026-5760, une RCE CVSS 9.8 dans SGLang : un fichier de modèle GGUF malveillant embarque un chat template Jinja2 qui exécute du Python sur le serveur. Même classe que Llama Drama et une faille vLLM avant lui.
MalTool : quand une IA écrit l'outil malveillant que votre agent installe
Des chercheurs ont synthétisé 6 487 outils d'agent malveillants fonctionnels à l'aide d'un LLM de code. VirusTotal en a manqué la majorité. La leçon : le scan par signatures est le mauvais contrôle pour la chaîne d'approvisionnement des outils d'agents.
Secret Stealing : du code de modèle piégé exfiltre vos données de fine-tuning
Un papier du 30 avril 2026 montre qu'un code de modèle altéré — et non des poids empoisonnés — peut voler clés d'API et données personnelles dans un fine-tuning local, avec >98 % de récupération, en contournant DP-SGD et les audits.
LiteLLM piégé : quand un scanner CI corrompu prend le contrôle de la passerelle LLM
En mars 2026, des attaquants ont volé le jeton de publication PyPI de LiteLLM en compromettant Trivy dans son pipeline CI, puis ont diffusé deux versions piégées. La chaîne montre pourquoi la passerelle LLM est une cible de choix.
Semantic Compliance Hijacking : des skills d'agent sans payload, invisibles aux scanners
Un papier arXiv du 14 mai 2026 montre qu'un fichier de skill sans code ni intention malveillante explicite peut amener un agent de code à écrire lui-même son malware à l'exécution — avec un taux de détection de 0,00 %.
HAMLOCK : une porte dérobée partagée entre le modèle et la puce
Un article USENIX Security 2026, médiatisé le 15 juin 2026, scinde une porte dérobée entre le logiciel et le silicium : le modèle seul ne se trompe jamais, et les scanners logiciels comme Neural Cleanse ou MNTD ne voient rien.
ktransformers : RCE non authentifiée via pickle sur ZeroMQ (CVE-2026-26210)
Une RCE critique dans le moteur d'inférence ktransformers expose un socket ZMQ sur toutes les interfaces et déserialise via pickle tout ce qu'il reçoit. C'est le dernier cas du motif « ShadowMQ » recopié à travers les stacks d'inférence IA.
Routeurs d'API LLM malveillants : l'homme du milieu non surveillé des agents
Une étude de l'UC Santa Barbara (arXiv, 9 avril 2026) a mesuré 428 routeurs d'API LLM tiers : plusieurs injectaient du code, volaient des identifiants et ont vidé un portefeuille crypto — depuis une frontière de confiance que les développeurs configurent volontairement.
MalSkillBench : on ne sait pas mesurer les détecteurs de skills malveillants, car les jeux de test sont biaisés
Un article de juin 2026 construit le premier benchmark à vérification d'exécution des skills d'agent malveillants — 3 944 échantillons sur 108 cellules d'attaque — et montre que le rappel d'un même détecteur peut varier de 66 points selon le jeu de données utilisé.
Quand le #1 des tendances est un malware : le typosquat Hugging Face Open-OSS/privacy-filter
Le 7 mai 2026, HiddenLayer a trouvé Open-OSS/privacy-filter, un typosquat du modèle d'OpenAI arrivé en tête des tendances Hugging Face avec ~244 000 téléchargements en 18 heures, qui livrait un infostealer Rust.
Au-delà du tool poisoning : ce qu'un serveur MCP distant malveillant peut vraiment faire
Une étude du 21 mai 2026 cartographie toute la surface d'attaque des serveurs MCP distants malveillants sur ChatGPT, Claude Desktop et Gemini CLI — le filtrage côté hôte passe de 95 % à 50 % pour la même requête, et les attaques réussies ne sont presque jamais signalées.
RTK (CVE-2026-45792) : des filtres non fiables masquent un backdoor à la revue IA
Pillar Security a divulgué le 20 mai 2026 une faille dans RTK, un filtre d'optimisation de tokens pour Claude Code : un .rtk/filters.toml fourni par le dépôt pouvait retirer silencieusement un backdoor de la sortie des commandes avant que le modèle ne la voie. La cible, c'est la perception de l'agent, pas son exécution.
Ver Hades : la config d'agent de code piégée qui s'exécute à l'ouverture du dépôt
Le ver Hades commit des fichiers de configuration pour Claude Code, Gemini, Cursor et VS Code qui s'exécutent au démarrage de session ou à l'ouverture du dossier — transformant un dépôt cloné en voleur d'identifiants, sans aucune étape d'installation.
Injection via config Transformers : une RCE silencieuse qui contourne trust_remote_code
CVE-2026-4372, divulguée le 4 juin 2026, permet à un seul champ de config.json d'exécuter du code attaquant lors d'un simple from_pretrained() — en contournant trust_remote_code=False dans Hugging Face Transformers.
Empoisonnement séquentiel : répartir une porte dérobée sur les étapes du post-entraînement
Un papier du 3 juin 2026 montre qu'un poison réparti entre données SFT et préférences — négligeable à chaque étape isolée — se combine en une porte dérobée fonctionnelle. Les audits par étape créent une « illusion de l'attaquant unique ».
Back-Reveal : exfiltration de données par les propres appels d'outils d'un agent piégé
Un agent fine-tuné porte un déclencheur caché. Sur un signal anodin, il lit votre mémoire de session et l'expédie déguisée en simple appel de recherche — sans injection, sans outil malveillant. Article daté du 7 avril 2026.
MetaBackdoor : un déclencheur de backdoor fondé sur la longueur, invisible dans l'entrée
Un papier de mai 2026 de Microsoft et de l'Institute of Science Tokyo implante une backdoor dont le déclencheur est la longueur de l'entrée, pas son texte. Le prompt paraît propre, les filtres de contenu ne voient rien, et 90 exemples empoisonnés suffisent.
Les fichiers GGUF sont des entrées non fiables : les RCE récurrentes du parseur de llama.cpp
CVE-2026-33298 (mars 2026) et une divulgation oss-sec du 15 mai 2026 montrent que le parseur GGUF de llama.cpp enchaîne les corruptions de tas par dépassement d'entier : charger un modèle piégé peut suffire à exécuter du code.
trust_remote_code=False n'est pas une frontière : la RCE récurrente au chargement de modèle dans vLLM
CVE-2026-27893 (divulguée le 27 mars 2026) est le troisième contournement de trust_remote_code dans vLLM. Deux fichiers de modèle codent en dur trust_remote_code=True, annulant silencieusement le choix de l'opérateur et ouvrant une RCE depuis un dépôt de modèle malveillant.
Injection AGENTS.md : une dépendance piégée peut réécrire en silence les ordres de votre agent de code
Un rapport de la NVIDIA AI Red Team du 20 avril 2026 montre qu'une dépendance malveillante peut déposer un AGENTS.md forgé au build, écraser la consigne du développeur et demander à OpenAI Codex de masquer la modification dans la pull request.
Slopsquatting en 2026 : 127 noms de paquets que les cinq LLM frontières hallucinent à l'identique
Une réplication arXiv du 16 mai 2026 de l'étude USENIX Security '25 sur le slopsquatting montre que les taux d'hallucination baissent sur les modèles frontières — mais identifie 127 paquets fantômes inventés à l'identique par tous les modèles testés, soit une surface d'attaque supply-chain agnostique du modèle.
pgAdmin 4 ajoute un panneau LLM et hérite d'un LFI+SSRF classique (CVE-2026-7817)
pgAdmin 4 9.15 corrige un LFI et un SSRF authentifiés dans les nouveaux points d'API LLM. La classe de bug a quarante ans, la surface est toute neuve.
Déclencheurs cachés dans SKILL.md : attaques sémantiques sur les registres de skills d'agents
Un papier de l'Université du Maryland publié le 12 mai 2026 montre qu'un ajout de 20 tokens dans un fichier SKILL.md fait découvrir et sélectionner une skill malveillante par l'agent dans 77 à 86 % des essais, et contourne les scans du registre jusqu'à 100 % du temps.
Mini Shai-Hulud : le ver supply-chain qui s'en est pris à l'écosystème IA
Divulgué du 11 au 18 mai 2026, le ver Mini Shai-Hulud a trojanisé plus de 170 paquets npm et PyPI — dont Mistral AI, Guardrails AI et TanStack — et installe une persistance dans Claude Code et VS Code.