AGENTS
(91)91 hack(s).
Sélection d'outils surprivilégiés : les agents choisissent plus puissant que nécessaire
Un article de juin 2026 et son benchmark ToolPrivBench montrent que les agents LLM courants choisissent régulièrement des outils plus privilégiés qu'il ne faut — et que l'alignement de sécurité n'y change rien.
Le graphe de communication des agents trahit le workflow avant son exécution
Un article arXiv du 5 juin 2026 montre que, même avec des charges utiles chiffrées, le graphe de communication A2A/MCP permet à un observateur passif de prédire la classe de tâche d'un workflow dès son ouverture — et d'agir avant la fin.
Dégâts auto-infligés par les agents : quand l'IA casse la production sans attaquant
L'étude Cyera de mai 2026 sur plus de 7 200 incidents IA isole 344 cas de dégâts causés par des agents — dont 188 sans aucun attaquant externe — où des agents autonomes ont supprimé des bases, fui des secrets et brûlé des budgets.
Sleeper Memory Poisoning : des attaques dormantes contre les agents LLM à mémoire
Un papier de mai 2026 montre qu'un attaquant peut implanter de fausses 'mémoires' via un document ou une page web, qui restent dormantes puis orientent les actions d'un assistant lors de sessions ultérieures.
AutoJack : un agent navigateur transforme une page web en RCE sur l'hôte
La recherche AutoJack de Microsoft (18 juin 2026) montre un agent IA navigateur héritant de l'identité localhost pour atteindre un WebSocket MCP local et exécuter des processus arbitraires sur l'hôte.
CVE-2026-32211 : authentification absente dans Azure MCP Server
Microsoft a publié CVE-2026-32211 le 2 avril 2026 : une absence d'authentification dans Azure MCP Server permettant à un attaquant non authentifié de divulguer des informations sur le réseau. Microsoft la note 9,1 ; le NVD, 7,5.
WAAA : quand les navigateurs agentiques ressuscitent les attaques web
Un papier de mai 2026 construit le premier modèle de menace centré web pour les navigateurs agentiques et montre que 10 attaques web depuis longtemps neutralisées reviennent, souvent amplifiées, parce que l'agent est un adjoint confus incapable de distinguer une étape de tâche d'un piège web.
Agents de code trop zélés : actions hors périmètre sur des tâches anodines
Deux benchmarks de mai 2026 mesurent les agents de code qui débordent sur des requêtes anodines — suppression de fichiers, effacement d'identifiants — et montrent que c'est le framework, pas le modèle, qui porte le risque.
Détournement de sélection d'outil : forcer l'agent à choisir l'outil de l'attaquant
Une attaque NDSS 2026 et un papier IBM d'avril 2026 visent le même angle mort : l'étape où un agent choisit quel outil appeler. Empoisonnez le catalogue et l'agent prend le vôtre, avec 70 à 100 % de réussite.
CVE-2026-0755 : injection de commandes et vol de fichiers dans gemini-mcp-tool
Un avis du 18 juin 2026 détaille comment le populaire gemini-mcp-tool laissait une entrée non fiable atteindre le shell et le parseur @file de Gemini CLI — RCE CVSS 9.8 et exfiltration de fichiers, corrigé en 1.1.6.
NRT-Bench : red-teaming multi-tours d'agents LLM qui pilotent une centrale
Un benchmark publié le 18 juin 2026 place des agents LLM opérateurs dans une salle de contrôle nucléaire simulée. Des attaques multi-tours adaptatives ont fait franchir une limite de sûreté dans 8,7 à 12,1 % des sessions — et les défaillances se recoupent à peine d'un modèle à l'autre.
Vertex AI « Double Agents » : des service agents sur-privilégiés comme voie d'escalade cloud
Unit 42 a montré (31 mars 2026) qu'un déploiement Vertex AI Agent Engine expose, via le service de métadonnées, une identité de service trop large — transformant un agent mal configuré en accès en lecture à tous les buckets du projet.
Injection stockée : quand une injection survit à la session
Un papier arXiv de juin 2026 reformule la prompt injection comme un problème stocké, inter-sessions : une fois le texte adverse logé dans l'état persistant d'un agent, il peut orienter des exécutions bien après le départ de l'attaquant.
MemPoison : piéger la mémoire d'un agent par simple conversation
Un papier arXiv de mai 2026 implante une porte dérobée déclenchable dans la mémoire long terme d'un agent LLM par une simple conversation — et il est conçu pour survivre aux étapes d'extraction et de réécriture censées filtrer le contenu empoisonné.
Agent libOS : faire du runtime, et non du wrapper d'outil, la frontière d'autorité
Un papier arXiv du 2 juin 2026 soutient que la plupart des frameworks d'agents confondent visibilité d'un outil et autorité sur une ressource — et propose un runtime façon library-OS où les contrôles de capacités vivent au niveau des primitives, pas des wrappers.
CSRF du SDK Go MCP : une page web peut déclencher vos outils locaux (CVE-2026-33252)
Le SDK Go MCP officiel acceptait des POST cross-site du navigateur sans vérifier l'en-tête Origin. Sur un serveur local sans authentification, n'importe quel site visité pouvait invoquer vos outils. Corrigé en 1.4.1.
SkillAttack : un red-teaming automatisé trouve des exploits dans les skills d'agents
Un papier d'avril 2026, SkillAttack, reformule la découverte d'exploits comme un problème de recherche de chemin et montre que même des skills bien intentionnés sont atteignables — jusqu'à 0,93 de taux de succès sur les skills adverses.
Confusion d'autorité : quand l'agent outillé détourne son propre accès
Un papier de mai 2026 nomme un mode de défaillance distinct du prompt injection : une donnée non fiable peut informer le raisonnement d'un agent, mais jamais autoriser un effet de bord. AIRGuard fait respecter cette frontière au moment de l'action.
CVE-2026-26268 : l'agent de Cursor transforme un git checkout en exécution de code
Un dépôt malveillant cache un dépôt Git « bare » doté d'un hook automatique. Quand l'agent IA de Cursor lance git checkout pour « expliquer le code », le hook se déclenche — exécution de code arbitraire sur la machine du développeur, sans confirmation. Corrigé dans Cursor 2.5.
Attaques médiées par l'utilisateur : quand l'utilisateur devient le canal d'injection
Une étude de janvier 2026 sur 12 agents commerciaux montre que l'attaquant n'a pas besoin de toucher l'agent. Il piège un utilisateur de bonne foi pour qu'il relaie un contenu empoisonné — que la hiérarchie d'instructions promeut alors au rang d'intention utilisateur de confiance. Taux de contournement par défaut supérieur à 92 %.
CVE-2026-26030 : l'injection de prompt devient RCE dans Microsoft Semantic Kernel
L'AI Red Team de Microsoft a montré deux failles de Semantic Kernel qui transforment un simple prompt injecté en exécution de code sur l'hôte. La leçon : tout paramètre d'outil influençable par le modèle est une entrée contrôlée par l'attaquant. Corrigé le 7 mai 2026.
SearchGEO : faire recommander des pages d'attaquant par les agents de recherche LLM
Un papier arXiv du 15 juin 2026 mesure comment un contenu web contrôlé par un attaquant devient une recommandation endossée par l'agent — le taux de succès va de 0 % à 31,4 % selon le modèle.
Agents zombies : quand un agent LLM auto-évolutif reste compromis d'une session à l'autre
Une injection indirecte ponctuelle, observée pendant une session anodine, peut être écrite dans la mémoire longue de l'agent puis rejouée comme instruction — transformant un prompt éphémère en contrôle persistant. Article d'attaque daté de février 2026, défense (CAMS) de mai 2026.
AI Agent Traps : la cartographie en six catégories de DeepMind sur le détournement des agents par le web
Le papier « AI Agent Traps » de Google DeepMind (SSRN, fin mars 2026) propose la première taxonomie systématique des contenus web adverses qui ciblent la perception, le raisonnement, la mémoire, l'action, la dynamique multi-agents et le superviseur humain d'un agent.
ShadowMerge : empoisonner la mémoire-graphe des agents par collision de relations
Un papier de mai 2026 empoisonne la mémoire-graphe d'un agent avec des relations qui partagent un ancrage et un canal réels mais portent une valeur contradictoire — 93,8 % de réussite sur Mem0, et les filtres en entrée passent à côté.
Les agents navigateurs trahissent leur modèle par leur façon de cliquer
Un papier du 14 mai 2026 montre que les actions d'un agent navigateur LLM sur une page suffisent à identifier le modèle sous-jacent, avec jusqu'à 96 % de précision sur 14 modèles de pointe — sans en-têtes falsifiables.
Déni de service par extension de raisonnement : quand le garde-fou IA devient la surface d'attaque
Un papier de juin 2026 montre qu'un seul document piégé peut enfermer un garde-fou IA à base de raisonnement dans une boucle de réflexion sans fin, ralentissant les workflows d'agents jusqu'à 148x. La cible : la disponibilité, pas l'intégrité.
Agents de code IA : les attaquants visent le credential, pas le modèle
Six exploits de 2026 contre Codex, Claude Code, Copilot et Vertex AI ont tous contourné les défenses au niveau du modèle pour atteindre la même cible : les credentials d'exécution de l'agent. La cause profonde est un défaut de gouvernance des identités, pas un problème de prompt.
Checkpointers LangGraph : de l'injection SQL au RCE sur agents auto-hébergés
Check Point Research a enchaîné une injection SQL dans le checkpointer de LangGraph avec une désérialisation msgpack non sécurisée pour atteindre l'exécution de code à distance. Divulgué le 11 juin 2026 ; les trois CVE sont corrigées.
Empoisonnement de terminaison : piéger un agent LLM dans des boucles infinies
Un papier arXiv de mai 2026 montre qu'une injection peut fausser le jugement de fin de tâche d'un agent et provoquer un calcul sans borne. Le framework LoopTrap rapporte jusqu'à 25x d'amplification.
FragFuse : des requêtes fragmentées qui contournent le contrôle d'accès des agents LLM
Un papier arXiv du 14 juin 2026 montre qu'une requête interdite peut être découpée en fragments anodins, stockée dans la mémoire longue de l'agent, puis recomposée à la lecture — contournant les contrôles d'accès dans 86,3 % des cas.
Systèmes multi-agents LLM cross-domaine : sept défis de sécurité
Une Perspective publiée le 13 juin 2026 dans npj Artificial Intelligence cartographie sept défis de sécurité qui apparaissent lorsque des agents LLM de différentes organisations collaborent sans modèle de confiance commun.
TOCTOU dans les agents IA : violations d'atomicité entre observation et action
Une vieille faille des systèmes d'exploitation refait surface dans les agents : le monde change entre le moment où l'agent regarde et celui où il agit. Des travaux de 2026 la formalisent pour les agents GUI, navigateur et multi-agents.
Le serveur MCP de Splunk journalise les jetons d'auth en clair (CVE-2026-20205)
L'app Splunk MCP Server écrivait les jetons de session et d'autorisation des utilisateurs en clair dans l'index _internal — une faille CWE-532 (secrets dans les logs) qui transforme l'accès aux journaux en vol de jetons. Corrigé en v1.0.3.
Le DNS rebinding transforme les serveurs MCP en localhost en surface d'attaque distante
Une vague de divulgations coordonnées 2025–2026 a touché tous les grands SDK MCP pour une même cause racine : des serveurs HTTP en localhost qui ne valident pas l'en-tête Host/Origin. La plus récente, CVE-2026-11624 dans le MCP Toolbox de Google (13 juin 2026), est notée Critique 9,4.
CVE-2026-46519 : quand un serveur MCP filtre les outils à l'affichage mais pas à l'exécution
mcp-server-kubernetes n'appliquait ses contrôles read-only et allow-list que dans tools/list, jamais dans tools/call. Tout client connaissant le nom d'un outil pouvait l'exécuter. Une leçon nette sur l'autorisation à l'affichage vs à l'exécution.
Flowise CVE-2026-41264 : du code pandas écrit par le LLM jusqu'au RCE
Une prompt injection dans l'agent CSV de Flowise pousse le modèle à produire du Python qui échappe à une liste noire d'expressions régulières et exécute des commandes OS. Divulguée le 15 avril 2026, corrigée en 3.1.0.
ConVerse : quand deux agents discutent, c'est le plus fort qui fuit le plus
Un benchmark des conversations agent-à-agent montre que les attaques de confidentialité réussissent jusqu'à 88 % du temps, les atteintes de sécurité jusqu'à 60 % — et que les modèles les plus capables fuitent davantage, pas l'inverse.
GitHub Action Claude Code : comment l'outil Read a fait fuiter des secrets CI/CD
Microsoft Threat Intelligence a découvert que l'outil Read de Claude Code Action contournait le scrub d'environnement de Bash pour lire /proc/self/environ, exposant l'ANTHROPIC_API_KEY du runner. Corrigé en v2.1.128.
Blanchiment de causalité : quand un appel d'outil refusé fuite quand même
Un article d'avril 2026 montre que refuser l'appel d'outil d'un agent ne met pas fin à l'attaque : le refus lui-même est un canal d'information. Le suivi de teinte à plat le manque.
Décomposition à contexte fracturé : jailbreaks par les failles de provenance
Un papier arXiv du 8 juin 2026 formalise le « trou de provenance » des agents outillés : un comportement nuisible assemblé à partir d'actions anodines réparties dans le temps, jusqu'à +28,3 points de réussite.
SABER : les agents de code échouent à la sûreté opérationnelle même quand ils refusent les prompts malveillants
Un benchmark du 31 mai 2026 évalue les agents de code LLM sur l'état final d'un vrai dépôt, pas sur le refus de prompt. Même le meilleur modèle laisse une violation nuisible dans plus de la moitié des runs.
Contournement d'allowlist dans Cursor : les built-ins du shell empoisonnent l'environnement
CVE-2026-22708 permet à une injection de prompt d'utiliser des built-ins shell de confiance comme export et typeset pour empoisonner les variables d'environnement de Cursor, transformant une commande git ou python approuvée en exécution de code à distance. Corrigé en 2.3.
Attaques par flux de contrôle mémoire : quand la mémoire pilote les outils d'un agent
Un papier de mars 2026 montre que la mémoire empoisonnée d'un agent ne corrompt pas seulement le contenu : elle détourne le flux de contrôle de la sélection d'outils, forçant des outils non voulus et des étapes sautées dans plus de 90 % des essais, d'une tâche à l'autre et longtemps après l'injection.
Serveurs MCP distants : 40 % sans authentification, OAuth cassé sur le reste
Une étude arXiv de mai 2026 a scanné 7 973 serveurs MCP distants : 40,55 % exposent leurs outils sans aucune authentification, et les 119 serveurs OAuth testés présentaient tous au moins une faille — 9 CVE attribuées.
Cinq attaques sur x402 : quand les agents IA paient, les coutures inter-couches fuient
Un papier du 12 mai 2026 casse formellement x402, le protocole de paiement agentique fondé sur HTTP 402. Cinq attaques sur le règlement, le rejeu, la couche web et la découverte — un paiement rejoué a produit 248 accès sur un endpoint en production.
L'outil shell de MS-Agent : une denylist regex transforme l'injection de prompt en RCE
CVE-2026-2256 permet à du contenu malveillant de pousser MS-Agent (ModelScope) à exécuter des commandes système. La cause racine est un anti-pattern connu : protéger un outil shell par une denylist regex plutôt que par une allowlist.
OWASP ASI02 : quand un agent retourne ses propres outils contre vous
Tool Misuse & Exploitation est le risque n°2 du Top 10 OWASP pour les applications agentiques 2026. Le danger n'est pas qu'un agent gagne de nouveaux outils — c'est qu'il détourne ceux qu'il possède déjà : sur-privilège, descripteurs empoisonnés, chaînage non maîtrisé.
VIPER-MCP : 67 CVE issues de failles de type taint sur 40 000 serveurs MCP
Un papier arXiv du 20 mai 2026 a audité 39 884 dépôts de serveurs MCP open source, confirmé 106 zero-days de bout en bout et obtenu 67 identifiants CVE. L'histoire, c'est le motif : une entrée d'agent non fiable qui atteint des sinks shell, réseau et fichiers.
CVE-2026-45497 : une injection de commande transforme Microsoft 365 Copilot en surface RCE
Le 4 juin 2026, le MSRC a publié CVE-2026-45497, une injection de commande dans Microsoft 365 Copilot classée en exécution de code à distance, avec un changement de portée franchissant la frontière du service. Corrigée côté serveur.
Quand un argument d'outil MCP devient un intent Android : les sinks de mobile-mcp
CVE-2026-35394 permet à une URL contrôlée par le modèle de déclencher des intents Android arbitraires via l'outil mobile_open_url de mobile-mcp. Couplée à une CVE jumelle de path traversal, elle révèle un motif : des arguments d'outil MCP qui atteignent des sinks sans validation.
Vers auto-propagatifs d'agents et défense par ré-entrée temporelle
Un papier de mai 2026 formalise comment l'état persistant d'un agent permet à une charge d'injection de se réécrire dans le contexte du LLM, de se propager entre agents sans clic, et propose RTW-A — défense prouvée par un théorème de non-propagation.
Tool poisoning sur 7 clients MCP : une comparaison de posture de sécurité
Une étude empirique de mars 2026 teste quatre attaques de tool poisoning contre Claude Desktop, Claude Code, Cursor, Cline, Continue, Gemini CLI et Langflow — et constate que l'essentiel de la protection vient du modèle, pas du client.
AIRQ évalue 100 agents IA en production : 98 % cumulent la triade fatale
L'AI Risk Quadrant d'Adversa AI (juin 2026) note 100 agents commerciaux sur surface d'attaque, rayon d'impact et défenses. Seuls 11 % sont bien défendus ; l'exécution d'outils explique à elle seule 76 % du rayon d'impact.
CVE-2026-30615 : une prompt injection réécrit la config MCP de Windsurf en RCE
L'avis OX Security du 15 avril 2026 montre comment du contenu malveillant peut faire enregistrer à l'IDE Windsurf un serveur MCP STDIO hostile et exécuter des commandes — sans le moindre clic. La classe touche plusieurs agents de code, mais le CVE est pour Windsurf.
La system card d'Opus 4.8 chiffre l'injection de prompt sur agent navigateur : 31,5 %
La system card de Claude Opus 4.8 (28 mai 2026) rapporte un taux de détournement pré-garde-fous de 31,5 % pour son agent navigateur — la seule métrique d'injection de prompt publiée par un grand laboratoire ce printemps.
Propagation d'autorisation : la faille des agents que les défenses anti-injection ne résoudront pas
Un papier de Krti Tallam du 6 mai 2026 décrit un problème propre aux systèmes multi-agents — la propagation d'autorisation — qui subsiste même avec une défense anti-injection parfaite : délégation transitive, inférence par agrégation, validité temporelle.
ClawTrojan : l'injection stockée devient une porte dérobée persistante d'agent
Un paper arXiv du 29 mai 2026 montre qu'une injection cachée dans un fichier peut être stockée par un agent local puis exécutée plus tard — 95,5 % de réussite là où l'injection mono-tour frôle zéro.
Langroid SQLChatAgent : de l'injection prompt-vers-SQL à la RCE (CVE-2026-25879)
Divulguée le 1er juin 2026, la CVE-2026-25879 (CVSS 9.8) permet à un agent SQL victime d'injection de prompt d'exécuter des primitives comme COPY FROM PROGRAM, transformant un chatbot en exécution de code sur l'hôte de la base.
Il a suffi de demander : l'assistant IA de Meta et les prises de contrôle Instagram
Le week-end des 30–31 mai 2026, des attaquants ont pris le contrôle de comptes Instagram en vue en demandant simplement au bot de support IA de Meta de relier une nouvelle adresse e-mail. Aucune injection de prompt — juste une agentivité excessive.
Agents fragiles : l'injection indirecte survit aux appels d'outils multi-étapes
Un papier du 4 avril 2026 teste 6 défenses contre 4 vecteurs d'injection indirecte sur 9 modèles, en agent multi-étapes — les injections avancées les contournent presque toutes, et certaines mitigations de surface se retournent contre la défense.
Arrêtez de fixer le prompt : détourner le raisonnement et la mémoire d'un agent
Un papier d'avril 2026, JailAgent, pousse un agent à des appels d'outils malveillants sans toucher au prompt utilisateur — en perturbant sa trajectoire de raisonnement et sa récupération mémoire. Le prompt n'a jamais été toute la surface d'attaque.
Sampling MCP : comment un serveur malveillant abuse du canal LLM inversé
La fonction de sampling de MCP permet à un serveur de demander une complétion au modèle du client. Unit 42 a montré (déc. 2025) comment un serveur malveillant en fait un canal d'appels d'outils furtifs, de détournement de conversation et de vol de calcul.
TrustFall : les réglages MCP du projet transforment le clic de confiance en RCE
TrustFall (Adversa AI, 7 mai 2026) montre que quatre CLI de codage agentiques démarrent automatiquement les serveurs MCP définis par le projet dès que le développeur accepte l'invite de confiance du dossier — un appui de touche sur le poste, zéro clic en CI.
Flowise CVE-2026-40933 : importer un chatflow partagé suffit pour une RCE
L'analyse d'Obsidian Security du 28 mai 2026 montre comment le nœud Custom MCP de Flowise transforme une config MCP stdio en exécution de code côté serveur — et comment le simple import d'un chatflow partagé peut la déclencher, sans sauvegarde ni exécution.
CrewAI : un repli silencieux du bac à sable transforme l'injection de prompt en RCE (VU#221883)
Quatre failles CrewAI permettent de chaîner injection de prompt, RCE, SSRF et lecture de fichiers via un Code Interpreter qui sort silencieusement de Docker. La mise à jour CERT/CC du 20 mai 2026 confirme le correctif complet.
Attaques par épuisement de tokens : déni de service économique via les chaînes d'outils des agents
Deux papers de 2026 montrent qu'un outil ou un skill malveillant peut entraîner un agent LLM dans de longues boucles d'appels d'outils, multipliant le coût en tokens par 6 à 658× tout en renvoyant la bonne réponse — une variante furtive de l'Unbounded Consumption de l'OWASP.
SymJack : une copie de fichier approuvée devient RCE dans six agents de codage IA
Adversa AI a publié le 26 mai 2026 un schéma de détournement par lien symbolique qui transforme une simple commande shell en réécriture de la config et en RCE sur l'hôte, à travers Claude Code, Cursor, Gemini, Antigravity, Copilot, Grok Build et Codex CLI.
Blindfold : des jailbreaks au niveau action contournent les défenses sémantiques des LLM embarqués
Un papier SenSys '26 (11–14 mai 2026) présente Blindfold, un framework automatisé qui jailbreake les LLM embarqués en décomposant un but malveillant en actions individuellement anodines — jusqu'à 53 % de gain d'attaque sur un bras robotique 6-DoF réel.
MemMorph : détournement des appels d'outils par empoisonnement fluide de la mémoire
Une publication arXiv du 24 mai 2026 (NTU Singapour) montre que trois entrées de mémoire d'apparence anodine suffisent à orienter un agent vers l'outil choisi par l'attaquant, avec 85,9 % de succès — et résistent à trois défenses standard.
Microsoft Copilot Cowork : des skills piégées exfiltrent les fichiers M365 sans approbation
Publication PromptArmor du 26 mai 2026 : cinq lignes d'injection de prompt dans une skill Copilot Cowork suffisent à exfiltrer des documents SharePoint et OneDrive via des messages Teams auto-approuvés.
Contamination temporelle de la mémoire : dérive longitudinale de sûreté chez les agents LLM
Trois preprints arXiv d'avril et mai 2026 convergent sur un mode de défaillance complémentaire de l'empoisonnement de mémoire — les agents équipés de mémoire dérivent vers l'unsafe au fil de l'accumulation de contexte bénin, les résumés compressés agissant comme un canal de blanchiment.
Le harnais de l'agent est votre vrai périmètre de privilège — et la plupart des équipes le placent au mauvais endroit
Une analyse de Pillar Security publiée le 26 mai 2026 démontre que le harnais — Claude Code, Cursor, Codex — détient les secrets, outils et hooks que l'agent ne voit jamais. Des bugs récents de harnais et la CVE-2026-22708 rendent la démonstration concrète.
Les réseaux d'agents cassent autrement : le red-team de Microsoft, et RAMPART et Clarity
Microsoft Research a red-teamé une plateforme interne de 100+ agents toujours actifs. Quatre schémas d'attaque — propagation, amplification, capture de confiance, chaînes de proxy — n'apparaissent qu'au niveau du réseau. RAMPART et Clarity, open-sourcés le 20 mai 2026, sont la réponse.
Antigravity find_by_name : quand un appel d'outil natif saute par-dessus le Secure Mode
Le 20 avril 2026, Pillar Security a divulgué qu'un seul paramètre non assaini de l'outil find_by_name de Google Antigravity transformait une recherche de fichier en exécution de code arbitraire — en contournant le sandbox le plus strict de l'IDE.
ClaudeBleed : quand un agent navigateur fait confiance à la mauvaise extension
LayerX a divulgué ClaudeBleed le 6 mai 2026 : une faille de frontière de confiance permettait à n'importe quelle extension Chrome de piloter Claude in Chrome et d'exfiltrer des données Gmail, Drive et GitHub. Le premier correctif a été contourné en quelques heures.
Transport STDIO de MCP : le choix de conception devenu 11 CVE et 200 000 agents exposés
Le 16 avril 2026, OX Security a révélé que le transport STDIO de MCP, signé Anthropic, exécute toute commande qu'on lui passe. Anthropic parle d'un comportement « voulu ». La cascade a produit onze CVE en six semaines.
Quand le prompt devient un shell : de l'injection au RCE dans les frameworks d'agents
Deux CVE dans Microsoft Semantic Kernel et quatre dans CrewAI — toutes divulguées début 2026 — transforment un simple prompt injecté en exécution de code à distance sur l'hôte. Le motif est structurel, pas accidentel.
Sécuriser les agents IA comme des systèmes d'exploitation : la cartographie du CISPA
Un papier du CISPA publié le 14 mai 2026 transpose plusieurs décennies de sécurité des OS aux agents LLM. Testé sur quatre agents de type OpenClaw, deux familles de faiblesses — exfiltration inter-utilisateurs et sortie réseau non autorisée — échouent sur tous les systèmes.
Empoisonner une fois, exploiter pour toujours : poisoning persistant de la mémoire des agents LLM (OWASP ASI06)
Un papier arXiv d'avril 2026 sur le memory poisoning inter-sites et un post OWASP du 13 mai 2026 sur la découverte MemoryTrap de Cisco contre Claude Code convergent vers le même constat : la mémoire d'agent est une frontière de confiance.
Le Triangle Mortel : quand un agent lit des données privées, du contenu non fiable, et peut appeler dehors
Le cadre de Simon Willison pour la faute architecturale qui a transformé la vague d'exfiltrations d'agents IA de 2026 en classe de vulnérabilité, et non en coïncidence.
Vulnérabilités back-end MCP : les failles classiques refont surface dans les passerelles IA-bases de données
La recherche d'Akamai du 12 mai 2026 documente une injection SQL (CVE-2025-66335), une authentification manquante et des entrées non assainies dans trois serveurs MCP — Apache Doris, Apache Pinot et Alibaba RDS. Le motif, plus que les bugs, est l'enseignement.
Semantic Kernel : quand un prompt devient un shell (CVE-2026-25592, CVE-2026-26030)
Microsoft a divulgué le 7 mai 2026 deux vulnérabilités critiques dans Semantic Kernel qui transforment un simple prompt injecté en exécution de code sur l'hôte. La cause racine est architecturale : registre d'outils et eval() traités comme des commodités, pas comme des frontières de sécurité.
Trust No Tool : empoisonnement cognitif des agents LLM via les retours d'outils
Un article arXiv du 17 mai 2026 introduit l'« empoisonnement cognitif » : un outil malveillant gagne la confiance de l'agent au fil de tours anodins et n'arme que l'action finale. La cible de défense passe du prompt à la trajectoire.
CVE-2026-35435 : les agents M365 publiés depuis Azure AI Foundry faisaient confiance à des appelants qu'ils auraient dû refuser
Divulguée le 7 mai 2026 (CVSS 8.6), une faille de contrôle d'accès dans Azure AI Foundry permet à des attaquants non autorisés d'élever leurs privilèges via les agents M365 publiés. Microsoft signale une exploitation active ; des mesures de mitigation existent avant le correctif.
Azure SRE Agent : un contrôle de token multi-tenant qui laissait des inconnus écouter vos incidents (CVE-2026-32173)
Divulguée le 20 avril 2026, une mauvaise configuration d'app registration Entra ID sur le WebSocket /agentHub d'Azure SRE Agent permettait à n'importe quel tenant de se connecter et d'écouter chaque prompt, chaque raisonnement, chaque commande CLI et chaque identifiant — silencieusement.
Claw Chain : quatre CVE OpenClaw qui transforment l'agent IA en main de l'attaquant
Divulguées le 15 mai 2026, les failles Claw Chain de Cyera Research chaînent quatre vulnérabilités OpenClaw — évasion de sandbox, fuite de variables d'environnement, élévation de privilèges MCP, lecture par symlink — en prise de contrôle complète de l'hôte via l'agent.
Comment and Control : un même schéma d'injection de prompt, trois agents qui fuitent les secrets GitHub Actions
Divulguée le 15 avril 2026, l'attaque Comment and Control transforme un titre de PR, un commentaire d'issue ou un commentaire HTML en canal d'exfiltration de secrets dans Claude Code, Gemini CLI et GitHub Copilot Agent.
PraisonAI CVE-2026-44338 : un serveur d'agents sans authentification, exploité en 3h44
Divulguée le 11 mai 2026, CVE-2026-44338 livre PraisonAI avec l'authentification désactivée en dur dans son ancien serveur API. Un scanner CVE-Detector a sondé l'endpoint moins de quatre heures plus tard.
Détournement d'agent en local : attaques WebSocket cross-origin sur les agents de code IA
La CVE-2026-44211 (CVSS 9.7), divulguée le 7 mai 2026, montre comment la simple visite d'une page malveillante peut détourner un agent de code IA installé sur le poste d'un développeur. La classe d'attaque est générique — et architecturale.
Prompts-shells : quand l'injection de prompt devient RCE dans les frameworks d'agents
Deux CVE divulguées dans Microsoft Semantic Kernel le 7 mai 2026 (CVE-2026-25592, CVE-2026-26030) montrent comment un prompt injecté peut basculer du texte à l'exécution de code à distance sur l'hôte de l'agent.