GOVERNANCE
(13)13 hack(s).
Prévision de mi-année du FIRST : ~66 000 CVE en 2026, mais le risque exploitable reste stable
Le 15 juin 2026, le FIRST a révisé sa projection 2026 à ~66 000 CVE — 46,3 % au-dessus de février — porté surtout par la découverte assistée par IA. Le sous-ensemble actionnable trié via EPSS et CISA KEV n'a pas progressé au même rythme.
AI Act : comment les lignes directrices classent les systèmes agentiques en haut risque
Les lignes directrices de la Commission européenne du 19 mai 2026 sur l'article 6 imposent d'évaluer un système agentique dans son ensemble — un seul composant accessoire peut faire basculer toute la configuration en haut risque.
Des dirigeants de l'IA demandent au Congrès de rendre obligatoire le criblage de la synthèse d'ADN
Le 5 juin 2026, les patrons d'OpenAI, Anthropic, Google DeepMind et Microsoft AI ont cosigné une lettre exhortant le Congrès à imposer le criblage de la synthèse d'acides nucléiques — présenté comme un contrôle défensif face à l'érosion des barrières par l'IA.
Divulgation à la vitesse machine : leçons du premier registre de vulnérabilités IA
Le registre de divulgation coordonnée d'Anthropic, analysé par VulnCheck le 9 juin 2026, montre l'IA remontant 23 019 bugs candidats quand seuls 1 596 atteignent les mainteneurs — un aperçu de la divulgation à l'ère de la découverte automatisée.
Quand un État retire un modèle : la suspension de Fable 5 / Mythos 5
Le 12 juin 2026, une directive de contrôle des exportations américaine a contraint Anthropic à désactiver Claude Fable 5 et Mythos 5 dans le monde entier. Le déclencheur invoqué : un « jailbreak » qui revient à demander au modèle de lire du code et d'en corriger les failles — une tâche défensive quotidienne.
OWASP State of Agentic AI Security 2026 : l'injection de prompt relie la plupart des incidents d'agents
Le rapport OWASP State of Agentic AI Security and Governance v2.01 (1er juin 2026) passe des menaces hypothétiques aux CVE et brèches documentées. L'injection de prompt couvre désormais six des dix catégories de risque agentique.
DeepMind et ses partenaires ouvrent un fonds de 10 M$ pour la sûreté multi-agents
Le 11 juin 2026, Google DeepMind, Schmidt Sciences, la Cooperative AI Foundation et l'ARIA ont ouvert un appel de 10 M$ pour fonder un champ de recherche sur la sûreté de millions d'agents IA en interaction.
Modèle de maturité agentique OWASP : ne restez pas dans les cases rouges
Le rapport State of Agentic AI d'OWASP (juin 2026) ajoute un modèle de maturité d'adoption : une grille à deux axes où l'autonomie des agents dépasse la gouvernance, créant des « cases rouges » que personne ne supervise.
Aucun labo ne mesure le prompt injection de la même façon
Une comparaison du 1er juin 2026 des divulgations prompt injection d'Anthropic, OpenAI, Google et Meta montre qu'aucun labo ne partage de métrique, de surface ni de définition du succès — leurs chiffres ne sont pas comparables.
Décret américain sur la sécurité de l'IA : un guichet de vulnérabilités et une revue des modèles de pointe
Signé le 2 juin 2026, le décret américain sur l'innovation et la sécurité de l'IA crée un guichet fédéral de vulnérabilités IA et une revue volontaire de 30 jours avant publication des « modèles de pointe couverts ».
CISA + Five Eyes publient le premier guide commun sur l'adoption des IA agentiques
Le 1er mai 2026, CISA, NSA et les agences cyber des Five Eyes ont publié 'Careful Adoption of Agentic AI Services' — une taxonomie en 5 risques et un manuel de déploiement que les opérateurs d'infrastructures critiques sont désormais censés intégrer à leurs cadres de cybersécurité existants.
La NSA AISC publie un guide de sécurité MCP pour les déploiements IA
Le 20 mai 2026, l'Artificial Intelligence Security Center de la NSA a publié une fiche d'information de 15 pages sur le Model Context Protocol : huit classes de faiblesses, cinq incidents réels, neuf recommandations défensives.
La pression : les équipes sécurité de l'open source face au déluge de vulnérabilités assistées par IA
Le 26 mai 2026, Daniel Stenberg (curl) publie « The pressure » : plus d'un rapport de sécurité crédible par jour, douze CVE confirmées à mi-cycle, un schéma désormais confirmé par d'autres mainteneurs.