SUPPLY CHAIN
(27)27 hack(s).
Bucket squatting dans Vertex AI : la RCE cross-tenant « Pickle in the Middle »
Unit 42 a divulgué (16 juin 2026) une faille du SDK Python Vertex AI : un nom de bucket de staging prévisible et l'absence de vérification de propriété permettaient de détourner l'upload d'un modèle et d'obtenir une exécution de code cross-tenant. Corrigé en v1.148.0.
Les skills d'agent sont une chaîne d'approvisionnement : malware et injection dans SKILL.md
Un audit de février 2026 de ~4 000 skills d'agent a trouvé 13,4 % de cas critiques et 76 charges malveillantes en ligne. SKILL.md est désormais une supply chain — voici comment la trier.
Prise de contrôle du scope npm Mastra : un compte de mainteneur dormant empoisonne un framework d'agents IA
Le 17 juin 2026, un compte de contributeur oublié a republié tout le scope npm @mastra — environ 142 paquets — avec une dépendance malveillante qui installe un voleur de cryptomonnaie et un RAT. Un identifiant périmé, pas un zero-day.
Les chat templates sont du code : injection Jinja2 (SSTI) dans les serveurs d'inférence LLM
Le bulletin VU#915947 du CERT/CC (20 avril 2026) documente CVE-2026-5760, une RCE CVSS 9.8 dans SGLang : un fichier de modèle GGUF malveillant embarque un chat template Jinja2 qui exécute du Python sur le serveur. Même classe que Llama Drama et une faille vLLM avant lui.
MalTool : quand une IA écrit l'outil malveillant que votre agent installe
Des chercheurs ont synthétisé 6 487 outils d'agent malveillants fonctionnels à l'aide d'un LLM de code. VirusTotal en a manqué la majorité. La leçon : le scan par signatures est le mauvais contrôle pour la chaîne d'approvisionnement des outils d'agents.
Secret Stealing : du code de modèle piégé exfiltre vos données de fine-tuning
Un papier du 30 avril 2026 montre qu'un code de modèle altéré — et non des poids empoisonnés — peut voler clés d'API et données personnelles dans un fine-tuning local, avec >98 % de récupération, en contournant DP-SGD et les audits.
LiteLLM piégé : quand un scanner CI corrompu prend le contrôle de la passerelle LLM
En mars 2026, des attaquants ont volé le jeton de publication PyPI de LiteLLM en compromettant Trivy dans son pipeline CI, puis ont diffusé deux versions piégées. La chaîne montre pourquoi la passerelle LLM est une cible de choix.
Semantic Compliance Hijacking : des skills d'agent sans payload, invisibles aux scanners
Un papier arXiv du 14 mai 2026 montre qu'un fichier de skill sans code ni intention malveillante explicite peut amener un agent de code à écrire lui-même son malware à l'exécution — avec un taux de détection de 0,00 %.
HAMLOCK : une porte dérobée partagée entre le modèle et la puce
Un article USENIX Security 2026, médiatisé le 15 juin 2026, scinde une porte dérobée entre le logiciel et le silicium : le modèle seul ne se trompe jamais, et les scanners logiciels comme Neural Cleanse ou MNTD ne voient rien.
Quand le #1 des tendances est un malware : le typosquat Hugging Face Open-OSS/privacy-filter
Le 7 mai 2026, HiddenLayer a trouvé Open-OSS/privacy-filter, un typosquat du modèle d'OpenAI arrivé en tête des tendances Hugging Face avec ~244 000 téléchargements en 18 heures, qui livrait un infostealer Rust.
MalSkillBench : on ne sait pas mesurer les détecteurs de skills malveillants, car les jeux de test sont biaisés
Un article de juin 2026 construit le premier benchmark à vérification d'exécution des skills d'agent malveillants — 3 944 échantillons sur 108 cellules d'attaque — et montre que le rappel d'un même détecteur peut varier de 66 points selon le jeu de données utilisé.
ktransformers : RCE non authentifiée via pickle sur ZeroMQ (CVE-2026-26210)
Une RCE critique dans le moteur d'inférence ktransformers expose un socket ZMQ sur toutes les interfaces et déserialise via pickle tout ce qu'il reçoit. C'est le dernier cas du motif « ShadowMQ » recopié à travers les stacks d'inférence IA.
Routeurs d'API LLM malveillants : l'homme du milieu non surveillé des agents
Une étude de l'UC Santa Barbara (arXiv, 9 avril 2026) a mesuré 428 routeurs d'API LLM tiers : plusieurs injectaient du code, volaient des identifiants et ont vidé un portefeuille crypto — depuis une frontière de confiance que les développeurs configurent volontairement.
Au-delà du tool poisoning : ce qu'un serveur MCP distant malveillant peut vraiment faire
Une étude du 21 mai 2026 cartographie toute la surface d'attaque des serveurs MCP distants malveillants sur ChatGPT, Claude Desktop et Gemini CLI — le filtrage côté hôte passe de 95 % à 50 % pour la même requête, et les attaques réussies ne sont presque jamais signalées.
RTK (CVE-2026-45792) : des filtres non fiables masquent un backdoor à la revue IA
Pillar Security a divulgué le 20 mai 2026 une faille dans RTK, un filtre d'optimisation de tokens pour Claude Code : un .rtk/filters.toml fourni par le dépôt pouvait retirer silencieusement un backdoor de la sortie des commandes avant que le modèle ne la voie. La cible, c'est la perception de l'agent, pas son exécution.
Ver Hades : la config d'agent de code piégée qui s'exécute à l'ouverture du dépôt
Le ver Hades commit des fichiers de configuration pour Claude Code, Gemini, Cursor et VS Code qui s'exécutent au démarrage de session ou à l'ouverture du dossier — transformant un dépôt cloné en voleur d'identifiants, sans aucune étape d'installation.
Injection via config Transformers : une RCE silencieuse qui contourne trust_remote_code
CVE-2026-4372, divulguée le 4 juin 2026, permet à un seul champ de config.json d'exécuter du code attaquant lors d'un simple from_pretrained() — en contournant trust_remote_code=False dans Hugging Face Transformers.
Empoisonnement séquentiel : répartir une porte dérobée sur les étapes du post-entraînement
Un papier du 3 juin 2026 montre qu'un poison réparti entre données SFT et préférences — négligeable à chaque étape isolée — se combine en une porte dérobée fonctionnelle. Les audits par étape créent une « illusion de l'attaquant unique ».
MetaBackdoor : un déclencheur de backdoor fondé sur la longueur, invisible dans l'entrée
Un papier de mai 2026 de Microsoft et de l'Institute of Science Tokyo implante une backdoor dont le déclencheur est la longueur de l'entrée, pas son texte. Le prompt paraît propre, les filtres de contenu ne voient rien, et 90 exemples empoisonnés suffisent.
Back-Reveal : exfiltration de données par les propres appels d'outils d'un agent piégé
Un agent fine-tuné porte un déclencheur caché. Sur un signal anodin, il lit votre mémoire de session et l'expédie déguisée en simple appel de recherche — sans injection, sans outil malveillant. Article daté du 7 avril 2026.
trust_remote_code=False n'est pas une frontière : la RCE récurrente au chargement de modèle dans vLLM
CVE-2026-27893 (divulguée le 27 mars 2026) est le troisième contournement de trust_remote_code dans vLLM. Deux fichiers de modèle codent en dur trust_remote_code=True, annulant silencieusement le choix de l'opérateur et ouvrant une RCE depuis un dépôt de modèle malveillant.
Les fichiers GGUF sont des entrées non fiables : les RCE récurrentes du parseur de llama.cpp
CVE-2026-33298 (mars 2026) et une divulgation oss-sec du 15 mai 2026 montrent que le parseur GGUF de llama.cpp enchaîne les corruptions de tas par dépassement d'entier : charger un modèle piégé peut suffire à exécuter du code.
Injection AGENTS.md : une dépendance piégée peut réécrire en silence les ordres de votre agent de code
Un rapport de la NVIDIA AI Red Team du 20 avril 2026 montre qu'une dépendance malveillante peut déposer un AGENTS.md forgé au build, écraser la consigne du développeur et demander à OpenAI Codex de masquer la modification dans la pull request.
Slopsquatting en 2026 : 127 noms de paquets que les cinq LLM frontières hallucinent à l'identique
Une réplication arXiv du 16 mai 2026 de l'étude USENIX Security '25 sur le slopsquatting montre que les taux d'hallucination baissent sur les modèles frontières — mais identifie 127 paquets fantômes inventés à l'identique par tous les modèles testés, soit une surface d'attaque supply-chain agnostique du modèle.
pgAdmin 4 ajoute un panneau LLM et hérite d'un LFI+SSRF classique (CVE-2026-7817)
pgAdmin 4 9.15 corrige un LFI et un SSRF authentifiés dans les nouveaux points d'API LLM. La classe de bug a quarante ans, la surface est toute neuve.
Déclencheurs cachés dans SKILL.md : attaques sémantiques sur les registres de skills d'agents
Un papier de l'Université du Maryland publié le 12 mai 2026 montre qu'un ajout de 20 tokens dans un fichier SKILL.md fait découvrir et sélectionner une skill malveillante par l'agent dans 77 à 86 % des essais, et contourne les scans du registre jusqu'à 100 % du temps.
Mini Shai-Hulud : le ver supply-chain qui s'en est pris à l'écosystème IA
Divulgué du 11 au 18 mai 2026, le ver Mini Shai-Hulud a trojanisé plus de 170 paquets npm et PyPI — dont Mistral AI, Guardrails AI et TanStack — et installe une persistance dans Claude Code et VS Code.