système : OPÉRATIONNEL
← retour aux catégories

SUPPLY CHAIN

(43)

43 hack(s).

SUPPLY CHAIN MEDIUM

Chat templates piégés : des portes dérobées à l'inférence dans les modèles GGUF

Des travaux du début 2026 montrent qu'un chat template Jinja2 piégé, embarqué dans un modèle GGUF, peut injecter silencieusement des instructions cachées à l'inférence — en passant les scans classiques des hubs de modèles alors que les poids restent sains.

2026-07-17//7 min
SUPPLY CHAIN MEDIUM NEW

Scanners de skills contournés : les limites de l'analyse statique

Trail of Bits a fait passer quatre skills malveillants devant ClawHub, le scanner de Cisco et skills.sh en moins d'une heure chacun. La leçon : un scanner statique ne peut pas servir de frontière de confiance.

2026-07-16//7 min
SUPPLY CHAIN MEDIUM NEW

Phantom squatting : enregistrer les domaines web que les LLM hallucinent

Fin juin 2026, l'Unit 42 de Palo Alto a nommé le « phantom squatting » : des attaquants enregistrent les domaines inexistants que les modèles inventent de façon fiable, héritant de la confiance placée dans les liens suggérés par l'IA.

2026-07-14//6 min
SUPPLY CHAIN MEDIUM NEW

Le fossé du patch open source à l'ère de l'IA : la découverte dépasse la correction

L'IA découvre désormais les vulnérabilités open source bien plus vite que les mainteneurs ne peuvent les corriger. Une analyse de juillet 2026 évalue le ratio découverte/correction à environ 16,5 pour 1 — élargissant la fenêtre que les défenseurs doivent gérer.

2026-07-13//7 min
SUPPLY CHAIN CRITICAL NEW

HalluSquatting : détourner les noms hallucinés pour créer des botnets d'agents

Un attaquant peut préenregistrer les noms de dépôts et de skills que les agents de code hallucinent de façon prévisible, transformant un simple « clone ce repo » en exécution de code à grande échelle.

2026-07-10//8 min
SUPPLY CHAIN MEDIUM NEW

Un serveur MCP sur trois est une passerelle SSRF vers vos métadonnées cloud

Deux analyses d'écosystème publiées en 2026 trouvent du server-side request forgery dans une large part des serveurs MCP publics — et montrent que les étoiles, l'activité et les badges « vérifié » ne prédisent pas lesquels sont sûrs.

2026-07-08//6 min
SUPPLY CHAIN MEDIUM NEW

PhantomSkill : déguiser une charge malveillante en simple faille

Un article de juin 2026 montre qu'un attaquant peut maquiller la charge malveillante d'un skill d'agent en vulnérabilité déclenchable dans un script auxiliaire — passant la revue du SKILL.md et réduisant la détection de type malware, tout en gardant le skill pleinement fonctionnel.

2026-07-07//6 min
SUPPLY CHAIN MEDIUM NEW

ShareLock : le poisoning à seuil disperse un payload MCP sur plusieurs outils

Un article de juin 2026 découpe une instruction MCP malveillante en parts d'apparence anodine réparties sur plusieurs descriptions d'outils, déjouant les scanners par outil tout en gardant plus de 90 % de réussite.

2026-07-07//7 min
SUPPLY CHAIN MEDIUM NEW

Les skills d'agents ont des dépendances cachées : le risque transitif des chaînes d'approvisionnement

Une étude de juillet 2026 portant sur 1,43 million de skills d'agents montre que l'essentiel du risque de sécurité se cache dans des dépendances transitives qu'un relecteur ne voit jamais en lisant le seul fichier de skill.

2026-07-06//7 min
SUPPLY CHAIN MEDIUM NEW

Les scanners statiques ratent les skills malveillants repaquagés — l'audit à l'exécution les détecte

Une étude de juillet 2026 montre qu'un repaquage adaptatif contourne plus de 90 % des scanners de skills d'agent, et soutient que c'est l'audit comportemental à l'exécution, pas l'inspection d'apparence, qui détecte réellement le malware.

2026-07-06//6 min
SUPPLY CHAIN CRITICAL NEW

Claude Code Action : une confiance aveugle aux « bots » ouvrait une faille de supply chain

Un chercheur a montré que Claude Code GitHub Action faisait confiance à tout acteur finissant par [bot], permettant à une GitHub App auto-enregistrée de déclencher des workflows en mode agent sur des dépôts publics et d'enchaîner injection de prompt et vol de jeton OIDC. Corrigé en v1.0.94.

2026-07-03//7 min
SUPPLY CHAIN CRITICAL NEW

Abus de LLMO : piéger les agents de code IA via la doc des paquets

Le rapport PromptMink de ReversingLabs (juin 2026) montre un groupe nord-coréen rédigeant la documentation de paquets npm pour paraître crédible aux agents de code LLM, afin que l'agent recommande et installe une dépendance malveillante.

2026-07-03//7 min
SUPPLY CHAIN MEDIUM NEW

Quand une skill d'agent piégée se cache dans les fausses alertes

De nouveaux travaux montrent une attaque par empoisonnement de skill « position-aware » qui fond des instructions malveillantes dans la prose ordinaire d'une skill, et passe sous le radar de scanners LLM qui alertent déjà à tort sur la plupart des skills saines.

2026-07-03//7 min
SUPPLY CHAIN MEDIUM NEW

SkillMutator : l'attaque cachée entre le texte et le code d'une skill d'agent

Un benchmark de juin 2026 montre qu'une skill d'agent peut être malveillante dans l'interaction entre ses instructions en langage naturel et ses scripts — passant à la fois la détection d'injection de prompt et la revue de code, tout en poussant l'agent à exfiltrer des fichiers.

2026-07-03//6 min
SUPPLY CHAIN MEDIUM NEW

Une fausse extension Perplexity transforme une marque d'IA en mouchard de recherche

Microsoft a repéré une extension Chromium usurpant Perplexity qui réacheminait chaque frappe de la barre d'adresse vers le serveur d'un attaquant avant d'afficher les vrais résultats — sans faille de navigateur, juste une confiance détournée et des permissions Manifest V3.

2026-07-02//6 min
SUPPLY CHAIN MEDIUM NEW

L'outil que vous avez validé n'est pas celui qui tourne : le rug-pull des descriptions MCP

La recherche de Microsoft du 30 juin 2026 montre qu'un outil MCP validé peut être discrètement redécrit après revue. Comme les agents relisent les descriptions à chaque tour, un outil sain devient un canal d'exfiltration, sans aucune alerte.

2026-07-02//6 min
SUPPLY CHAIN CRITICAL NEW

Bucket squatting dans Vertex AI : la RCE cross-tenant « Pickle in the Middle »

Unit 42 a divulgué (16 juin 2026) une faille du SDK Python Vertex AI : un nom de bucket de staging prévisible et l'absence de vérification de propriété permettaient de détourner l'upload d'un modèle et d'obtenir une exécution de code cross-tenant. Corrigé en v1.148.0.

2026-06-22//6 min
SUPPLY CHAIN CRITICAL NEW

Les skills d'agent sont une chaîne d'approvisionnement : malware et injection dans SKILL.md

Un audit de février 2026 de ~4 000 skills d'agent a trouvé 13,4 % de cas critiques et 76 charges malveillantes en ligne. SKILL.md est désormais une supply chain — voici comment la trier.

2026-06-21//7 min
SUPPLY CHAIN CRITICAL NEW

Prise de contrôle du scope npm Mastra : un compte de mainteneur dormant empoisonne un framework d'agents IA

Le 17 juin 2026, un compte de contributeur oublié a republié tout le scope npm @mastra — environ 142 paquets — avec une dépendance malveillante qui installe un voleur de cryptomonnaie et un RAT. Un identifiant périmé, pas un zero-day.

2026-06-21//8 min
SUPPLY CHAIN CRITICAL NEW

Les chat templates sont du code : injection Jinja2 (SSTI) dans les serveurs d'inférence LLM

Le bulletin VU#915947 du CERT/CC (20 avril 2026) documente CVE-2026-5760, une RCE CVSS 9.8 dans SGLang : un fichier de modèle GGUF malveillant embarque un chat template Jinja2 qui exécute du Python sur le serveur. Même classe que Llama Drama et une faille vLLM avant lui.

2026-06-19//6 min
SUPPLY CHAIN MEDIUM NEW

MalTool : quand une IA écrit l'outil malveillant que votre agent installe

Des chercheurs ont synthétisé 6 487 outils d'agent malveillants fonctionnels à l'aide d'un LLM de code. VirusTotal en a manqué la majorité. La leçon : le scan par signatures est le mauvais contrôle pour la chaîne d'approvisionnement des outils d'agents.

2026-06-19//7 min
SUPPLY CHAIN MEDIUM NEW

Secret Stealing : du code de modèle piégé exfiltre vos données de fine-tuning

Un papier du 30 avril 2026 montre qu'un code de modèle altéré — et non des poids empoisonnés — peut voler clés d'API et données personnelles dans un fine-tuning local, avec >98 % de récupération, en contournant DP-SGD et les audits.

2026-06-18//6 min
SUPPLY CHAIN CRITICAL NEW

LiteLLM piégé : quand un scanner CI corrompu prend le contrôle de la passerelle LLM

En mars 2026, des attaquants ont volé le jeton de publication PyPI de LiteLLM en compromettant Trivy dans son pipeline CI, puis ont diffusé deux versions piégées. La chaîne montre pourquoi la passerelle LLM est une cible de choix.

2026-06-17//7 min
SUPPLY CHAIN MEDIUM NEW

Semantic Compliance Hijacking : des skills d'agent sans payload, invisibles aux scanners

Un papier arXiv du 14 mai 2026 montre qu'un fichier de skill sans code ni intention malveillante explicite peut amener un agent de code à écrire lui-même son malware à l'exécution — avec un taux de détection de 0,00 %.

2026-06-17//6 min
SUPPLY CHAIN MEDIUM NEW

HAMLOCK : une porte dérobée partagée entre le modèle et la puce

Un article USENIX Security 2026, médiatisé le 15 juin 2026, scinde une porte dérobée entre le logiciel et le silicium : le modèle seul ne se trompe jamais, et les scanners logiciels comme Neural Cleanse ou MNTD ne voient rien.

2026-06-16//7 min
SUPPLY CHAIN CRITICAL NEW

ktransformers : RCE non authentifiée via pickle sur ZeroMQ (CVE-2026-26210)

Une RCE critique dans le moteur d'inférence ktransformers expose un socket ZMQ sur toutes les interfaces et déserialise via pickle tout ce qu'il reçoit. C'est le dernier cas du motif « ShadowMQ » recopié à travers les stacks d'inférence IA.

2026-06-15//6 min
SUPPLY CHAIN CRITICAL NEW

Routeurs d'API LLM malveillants : l'homme du milieu non surveillé des agents

Une étude de l'UC Santa Barbara (arXiv, 9 avril 2026) a mesuré 428 routeurs d'API LLM tiers : plusieurs injectaient du code, volaient des identifiants et ont vidé un portefeuille crypto — depuis une frontière de confiance que les développeurs configurent volontairement.

2026-06-15//7 min
SUPPLY CHAIN MEDIUM NEW

MalSkillBench : on ne sait pas mesurer les détecteurs de skills malveillants, car les jeux de test sont biaisés

Un article de juin 2026 construit le premier benchmark à vérification d'exécution des skills d'agent malveillants — 3 944 échantillons sur 108 cellules d'attaque — et montre que le rappel d'un même détecteur peut varier de 66 points selon le jeu de données utilisé.

2026-06-15//7 min
SUPPLY CHAIN MEDIUM NEW

Quand le #1 des tendances est un malware : le typosquat Hugging Face Open-OSS/privacy-filter

Le 7 mai 2026, HiddenLayer a trouvé Open-OSS/privacy-filter, un typosquat du modèle d'OpenAI arrivé en tête des tendances Hugging Face avec ~244 000 téléchargements en 18 heures, qui livrait un infostealer Rust.

2026-06-15//6 min
SUPPLY CHAIN MEDIUM NEW

Au-delà du tool poisoning : ce qu'un serveur MCP distant malveillant peut vraiment faire

Une étude du 21 mai 2026 cartographie toute la surface d'attaque des serveurs MCP distants malveillants sur ChatGPT, Claude Desktop et Gemini CLI — le filtrage côté hôte passe de 95 % à 50 % pour la même requête, et les attaques réussies ne sont presque jamais signalées.

2026-06-12//8 min
SUPPLY CHAIN MEDIUM NEW

RTK (CVE-2026-45792) : des filtres non fiables masquent un backdoor à la revue IA

Pillar Security a divulgué le 20 mai 2026 une faille dans RTK, un filtre d'optimisation de tokens pour Claude Code : un .rtk/filters.toml fourni par le dépôt pouvait retirer silencieusement un backdoor de la sortie des commandes avant que le modèle ne la voie. La cible, c'est la perception de l'agent, pas son exécution.

2026-06-12//6 min
SUPPLY CHAIN CRITICAL NEW

Ver Hades : la config d'agent de code piégée qui s'exécute à l'ouverture du dépôt

Le ver Hades commit des fichiers de configuration pour Claude Code, Gemini, Cursor et VS Code qui s'exécutent au démarrage de session ou à l'ouverture du dossier — transformant un dépôt cloné en voleur d'identifiants, sans aucune étape d'installation.

2026-06-11//8 min
SUPPLY CHAIN CRITICAL NEW

Injection via config Transformers : une RCE silencieuse qui contourne trust_remote_code

CVE-2026-4372, divulguée le 4 juin 2026, permet à un seul champ de config.json d'exécuter du code attaquant lors d'un simple from_pretrained() — en contournant trust_remote_code=False dans Hugging Face Transformers.

2026-06-10//8 min
SUPPLY CHAIN MEDIUM NEW

Empoisonnement séquentiel : répartir une porte dérobée sur les étapes du post-entraînement

Un papier du 3 juin 2026 montre qu'un poison réparti entre données SFT et préférences — négligeable à chaque étape isolée — se combine en une porte dérobée fonctionnelle. Les audits par étape créent une « illusion de l'attaquant unique ».

2026-06-08//7 min
SUPPLY CHAIN MEDIUM NEW

Back-Reveal : exfiltration de données par les propres appels d'outils d'un agent piégé

Un agent fine-tuné porte un déclencheur caché. Sur un signal anodin, il lit votre mémoire de session et l'expédie déguisée en simple appel de recherche — sans injection, sans outil malveillant. Article daté du 7 avril 2026.

2026-06-07//7 min
SUPPLY CHAIN MEDIUM NEW

MetaBackdoor : un déclencheur de backdoor fondé sur la longueur, invisible dans l'entrée

Un papier de mai 2026 de Microsoft et de l'Institute of Science Tokyo implante une backdoor dont le déclencheur est la longueur de l'entrée, pas son texte. Le prompt paraît propre, les filtres de contenu ne voient rien, et 90 exemples empoisonnés suffisent.

2026-06-07//7 min
SUPPLY CHAIN MEDIUM NEW

Les fichiers GGUF sont des entrées non fiables : les RCE récurrentes du parseur de llama.cpp

CVE-2026-33298 (mars 2026) et une divulgation oss-sec du 15 mai 2026 montrent que le parseur GGUF de llama.cpp enchaîne les corruptions de tas par dépassement d'entier : charger un modèle piégé peut suffire à exécuter du code.

2026-06-05//6 min
SUPPLY CHAIN MEDIUM NEW

trust_remote_code=False n'est pas une frontière : la RCE récurrente au chargement de modèle dans vLLM

CVE-2026-27893 (divulguée le 27 mars 2026) est le troisième contournement de trust_remote_code dans vLLM. Deux fichiers de modèle codent en dur trust_remote_code=True, annulant silencieusement le choix de l'opérateur et ouvrant une RCE depuis un dépôt de modèle malveillant.

2026-06-05//6 min
SUPPLY CHAIN MEDIUM NEW

Injection AGENTS.md : une dépendance piégée peut réécrire en silence les ordres de votre agent de code

Un rapport de la NVIDIA AI Red Team du 20 avril 2026 montre qu'une dépendance malveillante peut déposer un AGENTS.md forgé au build, écraser la consigne du développeur et demander à OpenAI Codex de masquer la modification dans la pull request.

2026-06-04//7 min
SUPPLY CHAIN MEDIUM NEW

Slopsquatting en 2026 : 127 noms de paquets que les cinq LLM frontières hallucinent à l'identique

Une réplication arXiv du 16 mai 2026 de l'étude USENIX Security '25 sur le slopsquatting montre que les taux d'hallucination baissent sur les modèles frontières — mais identifie 127 paquets fantômes inventés à l'identique par tous les modèles testés, soit une surface d'attaque supply-chain agnostique du modèle.

2026-05-29//7 min
SUPPLY CHAIN MEDIUM

pgAdmin 4 ajoute un panneau LLM et hérite d'un LFI+SSRF classique (CVE-2026-7817)

pgAdmin 4 9.15 corrige un LFI et un SSRF authentifiés dans les nouveaux points d'API LLM. La classe de bug a quarante ans, la surface est toute neuve.

2026-05-28//7 min
SUPPLY CHAIN MEDIUM

Déclencheurs cachés dans SKILL.md : attaques sémantiques sur les registres de skills d'agents

Un papier de l'Université du Maryland publié le 12 mai 2026 montre qu'un ajout de 20 tokens dans un fichier SKILL.md fait découvrir et sélectionner une skill malveillante par l'agent dans 77 à 86 % des essais, et contourne les scans du registre jusqu'à 100 % du temps.

2026-05-26//8 min
SUPPLY CHAIN CRITICAL

Mini Shai-Hulud : le ver supply-chain qui s'en est pris à l'écosystème IA

Divulgué du 11 au 18 mai 2026, le ver Mini Shai-Hulud a trojanisé plus de 170 paquets npm et PyPI — dont Mistral AI, Guardrails AI et TanStack — et installe une persistance dans Claude Code et VS Code.

2026-05-22//8 min