STAR Labs de Straiker : ce que 1 700 exploits d'agents disent des impacts
Un rapport éditeur a lancé de vrais exploits contre des agents IA de code, de productivité et internes. Les impacts diffèrent nettement selon le type de déploiement — les leçons défensives, elles, se généralisent.
De quoi s’agit-il ?
Le 14 juillet 2026, l’équipe de recherche STAR Labs de Straiker a publié le Volume I de son rapport de menaces. Les chercheurs ont exécuté des milliers de scénarios adverses contre des agents IA en production, répartis en trois catégories de déploiement — agents de code, agents de productivité et de navigation, et agents internes développés sur mesure — et ont recensé plus de 1 700 exploits réussis.
L’intérêt du rapport tient moins à une technique isolée qu’à sa lecture de ce qu’un exploit réussi permet réellement d’obtenir, classé selon l’endroit où tourne l’agent. Une réserve s’impose d’emblée : il s’agit de chiffres communiqués par un éditeur dont le métier est de vendre de la sécurité pour agents, et ils n’ont pas été répliqués de façon indépendante. Vous les prendrez comme un signal directionnel sur la forme de la surface d’attaque, non comme des statistiques établies.
Comment ça marche
Le rapport regroupe les agents par mode de déploiement et rapporte un profil d’impact distinct pour chacun.
Agents de code — les outils qui lisent et écrivent du code sur la machine d’un développeur ; Cursor, Claude Code et GitHub Copilot figurent dans le périmètre. Parmi les attaques réussies ici, 36 % ont atteint l’exécution de code à distance sur la machine du développeur — celle-là même qui héberge le code source et les identifiants cloud. Dans une démonstration, l’équipe a acheté des annonces sponsorisées pour dépasser une page d’installation légitime et récupérer des identifiants d’agent de code — un rappel que le parcours d’installation et d’onboarding est en soi une surface d’attaque, pas un mode d’emploi à reproduire.
Agents de productivité — les assistants et agents de navigation intégrés au travail quotidien (le rapport cite ChatGPT Enterprise, Microsoft 365 Copilot, Gemini for Workspace, Perplexity Comet et Claude for Chrome) qui lisent courriels, documents, conversations et pages web pour le compte de l’utilisateur. Pour ceux-là, 91 % des attaques réussies se sont soldées par une exfiltration de données silencieuse — sans jailbreak, sans lien de phishing, sans logiciel malveillant. C’est la forme classique de la « triade létale » : accès aux données privées, exposition à du contenu non fiable et canal de sortie.
Agents internes — ceux qu’une entreprise construit pour elle-même sur des plateformes comme Amazon Bedrock AgentCore, Microsoft Foundry et Google Gemini Enterprise. Ils opèrent à l’intérieur du périmètre de confiance de l’entreprise ; en compromettre un offre donc le rayon d’impact le plus large, atteignant des systèmes internes que les agents de code ou de productivité ne touchent jamais.
Le rapport pointe aussi une chaîne d’approvisionnement partagée : il indique qu’environ 24 % des 17 651+ serveurs Model Context Protocol suivis portent au moins une vulnérabilité, que 28,6 % des 130 667 outils catalogués sont à risque élevé en l’état, et que dans une marketplace près de 5 % des Skills publiés étaient malveillants ou à risque élevé. Il introduit enfin deux notions — AiPT (AI-Powered Persistent Threats : des attaquants qui sont eux-mêmes des agents, dotés de boîtes à outils offensives) et LAVA (Language-Augmented Vulnerabilities in Applications : la couche sémantique sur laquelle raisonne un agent) — sous un cadre à quatre couches et trois types d’agents.
Pourquoi c’est important
La bascule des impacts est la partie utile. La compromission d’un agent de code est bruyante et destructrice (exécution de code sur une machine porteuse d’identifiants) ; celle d’un agent de productivité est discrète (les données partent sans laisser d’artefact). Ce mode de défaillance silencieux est précisément ce que l’outillage traditionnel manque : détection sur les endpoints, pare-feux et scanners de vulnérabilités inspectent le code, les endpoints et les paquets, pas la couche sémantique où l’agent décide d’exécuter une instruction malveillante nichée dans le contenu qu’il lit. Un seul serveur MCP ou Skill empoisonné, note le rapport, atteint tous les types d’agents à la fois — l’hygiène de la chaîne d’approvisionnement n’est donc pas optionnelle. Rien de tout cela ne dépend d’une adhésion aux pourcentages exacts : la leçon structurelle tient quelle que soit la reproductibilité des chiffres.
Défenses
- Traitez le parcours d’installation et de mise à jour de l’agent comme une chaîne d’approvisionnement. Épinglez les domaines officiels, vérifiez les sources d’installation, et méfiez-vous des résultats de recherche sponsorisés imitant une page d’installation.
- Appliquez la règle de la triade létale aux agents de productivité. Évitez de réunir dans une même session accès aux données privées, contenu non fiable et canal de sortie ; encadrez ou contrôlez les sorties des agents qui naviguent et lisent le courrier.
- Imposez le moindre privilège et des frontières de confiance strictes aux agents internes. Segmentez pour qu’un agent compromis ne puisse pas pivoter à l’échelle de l’entreprise ; réduisez au plus juste le périmètre des identifiants.
- Gouvernez la chaîne d’approvisionnement MCP et Skills. Mettez en liste blanche les serveurs et outils vérifiés, examinez les descriptions d’outils à la recherche d’injections et de rug-pulls, et revérifiez après chaque mise à jour.
- Ajoutez de l’observabilité au niveau sémantique. Journalisez les appels d’outils avec le contexte et le raisonnement qui les ont déclenchés ; un EDR classique ne fera pas remonter une décision d’exfiltration silencieuse.
- Postulez un angle mort de détection pour l’exfiltration discrète. Surveillez spécifiquement la sortie de données des agents de productivité, puisque les attaques réussies y laissent rarement d’autre trace.
Statut
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Rapport publié | STAR Labs Threat Research, Vol. I | 2026-07-14 | Chiffres éditeur ; non répliqués de façon indépendante |
| Agents de code | Cursor, Claude Code, GitHub Copilot | 2026-07-14 | 36 % des attaques réussies → RCE sur la machine dev |
| Agents de productivité | ChatGPT Enterprise, M365 Copilot, Gemini for Workspace, Perplexity Comet, Claude for Chrome | 2026-07-14 | 91 % des attaques réussies → exfiltration silencieuse |
| Chaîne d’approvisionnement | Serveurs / outils / Skills MCP | 2026-07-14 | ~24 % des serveurs avec ≥1 vuln ; 28,6 % des outils à risque élevé |
Ce qu’il faut retenir n’est pas le classement des pourcentages, mais le motif sous-jacent : le risque des agents est façonné par le contexte de déploiement, les impacts les plus discrets échappent aux outils que la plupart des entreprises exploitent déjà, et une seule dépendance empoisonnée franchit d’un coup toutes les frontières d’agents.
Les chiffres proviennent du communiqué et du microsite du rapport de l’éditeur et sont rapportés comme des données éditeur, non vérifiées de façon indépendante. Aucun payload de démonstration n’est reproduit.