Agents de code IA : les attaquants visent le credential, pas le modèle

De quoi s’agit-il ?

Sur une période de neuf mois s’achevant au printemps 2026, six équipes de recherche distinctes ont divulgué des exploits contre les agents de code IA les plus déployés — OpenAI Codex, Anthropic Claude Code, GitHub Copilot et Google Vertex AI. Une synthèse de VentureBeat publiée le 30 avril 2026 rend le schéma explicite : aucune de ces attaques ne visait la sortie du modèle. Toutes atteignaient la même cible — le credential d’exécution que l’agent détient pour s’authentifier auprès des systèmes de production.

Cela recadre la menace. Le récit dominant en sécurité des LLM porte sur la manipulation de ce que le modèle dit (prompt injection, jailbreaks). Ces divulgations portent sur ce que l’agent détient : un jeton OAuth, une identité de compte de service, une session shell. L’agent s’authentifiait auprès de GitHub, de Google Cloud ou de la machine d’un développeur sans aucune session humaine pour ancrer la requête, et c’est le credential — pas le modèle — qui constituait la brèche.

Comment ça marche

L’exemple le plus net est la faille d’injection de commande dans Codex divulguée par BeyondTrust Phantom Labs le 30 mars 2026 (advisory, Decipher). Le conteneur cloud de Codex clonait les dépôts à l’aide d’un jeton OAuth GitHub intégré dans l’URL distante git, et un nom de branche contrôlé par l’attaquant était injecté sans assainissement dans un script shell d’initialisation. Pour masquer la branche malveillante dans le portail web, les chercheurs ont ajouté 94 caractères d’espace idéographique (Unicode U+3000) après main, de sorte qu’elle s’affichait à l’identique de la vraie branche. OpenAI a classé la faille en Critique P1 et a achevé sa remédiation le 5 février 2026, après une divulgation entamée le 16 décembre 2025.

La même forme se répète d’un éditeur à l’autre, selon le reportage de VentureBeat :

• Claude Code — CVE-2026-25723 permettait à des commandes chaînées d’échapper au bac à sable d’écriture (corrigé en 2.0.55) ; CVE-2026-33068 chargeait les permissions de .claude/settings.json avant l’invite de confiance de l’espace de travail, si bien qu’un dépôt malveillant pouvait définir bypassPermissions sans que l’invite n’apparaisse (corrigé en 2.1.53). Adversa a par ailleurs constaté que l’application des règles de refus était silencieusement abandonnée dès qu’une commande dépassait 50 sous-commandes (corrigé en 2.1.90).
• GitHub Copilot — CVE-2025-53773 : des instructions cachées dans la description d’une pull request activaient l’auto-approbation dans .vscode/settings.json, autorisant l’exécution shell (corrigé dans la mise à jour Microsoft d’août 2025). Orca Security a séparément exfiltré un GITHUB_TOKEN privilégié depuis un flux Codespaces via une issue GitHub.
• Vertex AI — Unit 42 a constaté que l’identité de service par défaut (P4SA) attachée à chaque agent portait des permissions excessives, atteignant des buckets Cloud Storage et des dépôts Artifact Registry propriété de Google.

Dans chaque cas, la défense au niveau du modèle ou du bac à sable existait et a été contournée ; le credential sous-jacent restait accessible.

Pourquoi c’est important

Les agents de code IA sont largement invisibles à la gestion des identités et des accès (IAM). Les entreprises inventorient les identités humaines et font tourner leurs credentials, mais la plupart n’ont ni catégorie CMDB, ni intégration PAM, ni contrôle de cycle de vie pour les jetons OAuth et comptes de service que ces agents reçoivent à l’installation. Ces agents détiennent souvent plus de privilèges que le développeur, car les permissions sont provisionnées pour la rapidité et l’étendue. Deux amplificateurs aggravent la situation : les correctifs sont rétro-conçus en environ 72 heures, tandis qu’un agent réduit la fenêtre d’exploitation à quelques secondes ; et des entrées non fiables que la chaîne n’a jamais traitées comme du code — noms de branche, descriptions de PR, issues GitHub, fichiers de configuration — deviennent la surface d’injection.

Défenses

Les mitigations relèvent de la discipline de gouvernance des identités, pas du réglage de modèle :

• Inventoriez chaque identité d’agent. Recensez chaque agent de code IA (Codex, Claude Code, Copilot, Cursor, Gemini Code Assist, Windsurf) ainsi que les scopes OAuth et comptes de service exacts qu’il détient. Créez une catégorie d’identité non humaine dans votre CMDB s’il n’en existe pas.
• Limitez au moindre privilège et faites tourner. Migrez Vertex AI vers un modèle de compte de service apporté par le client ; intégrez les credentials d’agent dans le PAM/IGA avec rotation et séparation des tâches entre l’agent qui écrit le code et celui qui le déploie.
• Rabattez l’identité de l’agent sur l’humain. Un agent agissant pour votre compte ne devrait jamais dépasser vos propres privilèges, et ses actions devraient être liées à une session humaine vérifiée.
• Traitez les métadonnées de dépôt comme des entrées non fiables. Surveillez les noms de branche, descriptions de PR, issues, et les modifications de .vscode/settings.json ou .claude/settings.json pour repérer les changements de mode de permission, le chaînage de commandes et l’obfuscation Unicode (U+3000).
• Appliquez les correctifs. Claude Code ≥ 2.1.90 ; vérifiez le correctif Copilot d’août 2025 ; confirmez la remédiation de Codex.

Statut

Éditeur / produit	Problème	Divulgation	Correctif
OpenAI Codex	Injection de commande via nom de branche → vol de jeton GitHub	30 mars 2026 (BeyondTrust)	Corrigé le 5 février 2026
Claude Code	Évasion du bac à sable CVE-2026-25723 ; contournement de l’invite de confiance CVE-2026-33068 ; contournement par 50 sous-commandes	2026	2.0.55 / 2.1.53 / 2.1.90
GitHub Copilot	Injection via description de PR CVE-2025-53773 ; exfiltration de jeton Codespaces (Orca)	2025–2026	Mise à jour d’août 2025
Google Vertex AI	Identité de service P4SA par défaut sur-permissionnée	2026 (Unit 42)	Compte de service apporté par le client

Le fil conducteur : chaque éditeur a livré une défense, et chaque défense a été contournée au niveau du credential. Tant que les agents de code IA ne seront pas gouvernés avec la même rigueur que les identités humaines privilégiées, ce n’est pas le modèle qui constitue la surface d’attaque — c’est l’agent.