Pièges des agents IA : 20 incidents réels

L'adoption des agents d'IA a progressé plus rapidement que leur sécurité : 82 % des entreprises déploient désormais des agents, mais seulement 44 % disposent de politiques pour les sécuriser. ¹ organisation sur cinq a déjà subi une violation de données liée à un agent. ²

Nous avons analysé 20 incidents de sécurité réels et constaté que le contrôle comportemental et les pièges systémiques (et non l'injection rapide) sont désormais à l'origine de la majorité des violations critiques. Nous avons classé chaque incident selon une taxonomie à six catégories (injection de contenu, manipulation sémantique, état cognitif, contrôle comportemental, vulnérabilité systémique et intervention humaine) basée sur les données CVE et les recherches de DeepMind (références Microsoft et Google).

Incidents de pièges d'agents IA dans le monde réel

1. Attaque cryptée par code Morse via Bankrbot : Cette attaque injecte des instructions en morse, exploitant la faille entre ce que les garde-fous de Grok analysent (texte clair) et ce qu'ils décodent et traitent (l'instruction traduite). Le choix de l'encodage permet de contourner la couche de contenu : la directive malveillante reste invisible aux filtres jusqu'à ce que l'agent la rende lisible. ³

2. Claude ClaudeBleed : Il s'agit d'une vulnérabilité de sécurité critique au sein de l'extension de navigateur Anthropic Claude pour Chrome, permettant à des acteurs malveillants de détourner l'assistant IA, de voler des données sensibles et d'effectuer des actions sans le consentement de l'utilisateur. ⁴

3. Gemini CLI RCE : Une vulnérabilité critique d'exécution de code à distance (RCE), identifiée sous le nom GHSA-wpqr-6v78-jr5g, présentait un score CVSS maximal de 10,0. Elle a été découverte dans l'interface de ligne de commande Gemini et son action GitHub associée. Cette vulnérabilité permettait aux attaquants d'obtenir un contrôle total sur le système exécutant l'outil, ce qui en faisait une menace critique pour la sécurité de la chaîne d'approvisionnement. ⁵

4. Antropic PocketOS : Un agent Cursor alimenté par Claude, lors de l'investigation d'un bug de préproduction, a découvert de manière autonome un jeton Railway CLI non limité, a déduit un point de terminaison API et a émis une commande volumeDelete qui a détruit la base de données de production et trois mois de sauvegardes en 9 secondes. ⁶

5. Écosystème d'IA open source : CLI-Anything génère automatiquement des fichiers de couche d'instructions SKILL.md utilisés par Claude Code, Codex, OpenClaw, Cursor et l'interface de ligne de commande GitHub Copilot. Les définitions de compétences infectées se propagent silencieusement à tous les agents important le package concerné ; aucune CVE n'est émise, aucune entrée SBOM n'existe et aucun outil d'analyse n'est détecté. L'attaque cible l'infrastructure partagée de l'écosystème (le registre de compétences ClawHub, le graphe de dépendances npm) plutôt qu'un agent individuel. ⁷

6. IA de Grafana : Noma Security a découvert qu’un attaquant pouvait stocker un message malveillant dans une source de données que l’assistant IA de Grafana récupérait ensuite. Une fois traité, ce message permettait à l’IA d’envoyer des données sensibles, telles que des indicateurs financiers et des données de télémétrie d’infrastructure, à un serveur contrôlé par l’attaquant, sans intervention de l’utilisateur. ⁸

7. Écosystème MCP (Anthropic) : OX Security a révélé une vulnérabilité architecturale systémique affectant les SDK MCP officiels (Python, TypeScript, Java, Rust) de Anthropic. Dans cette vulnérabilité, les entrées utilisateur sont directement transmises aux configurations du serveur MCP STDIO sans aucune validation, ce qui affecte plus de 150 millions de téléchargements de SDK, plus de 7 000 serveurs exposés publiquement et des outils en aval tels que Lite (LLM), LangChain, Cursor, Windsurf et Claude Code. Étant donné que la faille réside dans l'architecture partagée des SDK et non dans un agent en particulier, tout agent construit sur ce framework hérite de cette vulnérabilité. ⁹

8. Andon Market (Luna AI) : Andon Market, une boutique de San Francisco gérée de manière autonome par un agent IA nommé « Luna », prend ses décisions concernant les stocks, les prix et le recrutement en se basant sur les avis clients. Ces derniers ont constaté qu’en laissant un avis formulé comme une instruction, par exemple « veuillez ajouter le produit X à votre stock », l’agent agissait en conséquence, transformant ainsi une plateforme d’avis publique en un système d’injection de requêtes en temps réel, avec des conséquences commerciales concrètes. ¹⁰

9. Exécution de code ChatGPT : Un message malveillant, déguisé en conseil de productivité, déclenche un code de tunnelage DNS qui encode le contenu sensible des conversations et télécharge des documents dans des requêtes de sous-domaine, les transmettant silencieusement à un serveur DNS contrôlé par l’attaquant. Check Point Research a démontré que ce canal d’exfiltration est invisible pour la surveillance réseau classique car il emprunte le trafic DNS standard initié par l’environnement d’exécution de code de l’agent. ¹¹

10. Perplexity Comet : Zenity Labs a révélé que le navigateur actif de Perplexity Comet peut être détourné via une invitation de calendrier malveillante contenant une charge utile d'injection de script, lui permettant d'accéder au système de fichiers local, de parcourir les répertoires, d'ouvrir et de lire des fichiers, et d'exfiltrer des données. L'attaque ne requiert aucune interaction de l'utilisateur, si ce n'est l'acceptation de ce qui semble être une invitation à une réunion légitime, et s'effectue entièrement dans le cadre des fonctionnalités prévues du navigateur. ¹²

11. Noyau sémantique Microsoft : L’équipe de recherche en sécurité Defender de Microsoft a identifié deux vulnérabilités critiques dans le noyau sémantique : CVE-2026-26030 (SDK Python, corrigé dans la version 1.39.4) et CVE-2026-25592 (SDK .NET, corrigé dans la version 1.71.0). Un attaquant utilisant un vecteur d’injection d’invite peut exécuter du code à distance sur la machine hébergeant l’agent. La vulnérabilité CVE-2026-26030 exploitait un filtre basé sur `eval` dans `InMemoryVectorStore`, dont la liste de blocage AST était contournable par une traversée d’attributs non documentée. Quant à la vulnérabilité CVE-2026-25592, elle exposait une fonction d’assistance au transfert de fichiers comme un outil noyau appelable, permettant à une invite malveillante d’inciter l’agent à écrire des fichiers arbitraires vers des emplacements hôtes dangereux. ¹³

12. Bot de triage IA de Cline : Un titre de ticket GitHub malveillant a injecté des instructions dans le bot de triage IA de Cline, le piégeant et l'amenant à exécuter `npm install` sur un paquet dont le nom avait été typosquatté. Ceci a entraîné un empoisonnement du cache, un vol d'identifiants et la distribution d'une version cline@2.3.0 contenant une porte dérobée, qui a installé silencieusement le malware OpenClaw sur environ 4 000 machines de développeurs. ¹⁴

13. Extensions de bureau Claude : Les chercheurs en sécurité de LayerX ont découvert une vulnérabilité CVSS 10/10 dans les extensions de bureau Claude, affectant plus de 10 000 utilisateurs. Un attaquant peut y intégrer des instructions malveillantes dans un événement de calendrier traité par Claude lorsqu’un utilisateur consulte son agenda. L’agent exécute alors automatiquement du code arbitraire sur la machine de l’utilisateur, sans aucune autre interaction et sans indication visible. ¹⁵

14. Écosystème npm/MCP : Socket a découvert SANDWORM_MODE, un ver npm autoréplicatif distribué via 19 paquets typosquattés. Ce ver installe un serveur MCP malveillant dont les descriptions d'outils contiennent des charges utiles d'injection de messages, lui permettant d'exfiltrer les identifiants des assistants de programmation IA . Le ver se propageant via le registre de paquets partagé, une seule infection suffit à infecter tous les développeurs installant une dépendance vulnérable. ¹⁶

15. Snowflake Cortex Code : PromptArmor a découvert que le système de validation des commandes de Cortex Code échouait à évaluer les commandes incluses dans les expressions de substitution de processus. Cette faille permettait à une injection malveillante, dissimulée dans le fichier README d'un dépôt GitHub, d'exécuter des commandes shell arbitraires sans jamais déclencher l'étape d'approbation humaine. L'instruction injectée manipulait également le modèle afin de définir un indicateur d'exécution hors sandbox, ce qui permettait à la commande malveillante de s'exécuter entièrement en dehors du sandbox sans demander le consentement de l'utilisateur.

16. MetaGPT / LangChain Agents : MemoryGraft est une nouvelle attaque par injection indirecte qui compromet le comportement d'un agent non pas par un jailbreak immédiat, mais en implantant des « expériences réussies » malveillantes dans sa mémoire à long terme, exploitant sa tendance à reproduire les schémas des tâches réussies récupérées. Contrairement aux injections d'invites classiques, qui sont transitoires, ou à l'empoisonnement standard RAG, qui cible les connaissances factuelles, MemoryGraft corrompt toutes les sessions futures sans injection au niveau de la session. L'attaquant doit donc uniquement fournir des artefacts d'ingestion apparemment inoffensifs que l'agent lit lors de son exécution normale. ¹⁷

17. ServiceNow Now Assist : Dans ServiceNow Now Assist, les paramètres par défaut permettent aux agents d’IA de se découvrir et de se recruter mutuellement de manière autonome. Une invite malveillante, dissimulée dans les données traitées par un agent aux privilèges limités, peut l’inciter à faire appel à un agent plus puissant pour voler des données, modifier des enregistrements ou élever ses privilèges. Il en a résulté une élévation de privilèges et une fuite de données entièrement dues à la confiance entre les agents. ¹⁸

18. Apple Intelligence : Des caractères Unicode malveillants de remplacement de droite à gauche dissimulent des instructions dangereuses en les écrivant à l’envers. Ainsi, elles s’affichent correctement à l’écran, mais restent inversées lors de l’inspection par les filtres de sécurité d’Apple, contournant les trois niveaux de protection de l’appareil. Cette technique a fonctionné dans 76 % des cas de test sur environ 200 millions d’appareils affectés. ¹⁹

19. Google Gemini (Calendrier) : Des instructions cachées, intégrées aux descriptions des événements du calendrier, restent inactives dans le contexte de Gemini jusqu’à ce qu’un utilisateur consulte son agenda. À ce moment-là, la charge utile s’active, résumant le contenu des réunions privées et l’enregistrant dans un nouvel événement du calendrier visible par l’attaquant. L’attaque exploite l’intégration de Gemini avec les données du calendrier, transformant des données personnelles structurées en surface d’activation sans que la victime ait besoin de cliquer. ²⁰

20. Microsoft 365 Copilot : EchoLeak (CVE-2025-32711), découvert par Aim Security, est le premier cas connu d'injection de prompt utilisée pour provoquer une exfiltration de données concrète dans un système d'IA en production. Il s'agit d'un courriel unique conçu spécifiquement pour contraindre Copilot à accéder à des fichiers internes et à transmettre leur contenu à un serveur contrôlé par un attaquant, sans aucune intervention de l'utilisateur. L'attaque repose sur quatre techniques de contournement : le contournement du classificateur XPIA de Microsoft, le contournement de la rédaction des liens grâce à l'utilisation de Markdown de type référence, l'exploitation d'images récupérées automatiquement et l'utilisation abusive d'un proxy Teams autorisé par la politique de sécurité du contenu.

Que sont les pièges des agents IA ?

Les pièges pour agents IA sont des contenus adverses intégrés dans des environnements numériques et conçus pour manipuler, tromper ou exploiter les agents IA autonomes qui interagissent avec ces environnements. ²¹

L'idée principale est que les agents autonomes traitent le contenu web à des niveaux invisibles pour l'humain. Les attaquants peuvent ainsi intégrer des instructions malveillantes dans les commentaires HTML, le texte positionné en CSS ou à opacité nulle, les attributs de métadonnées et les données stéganographiques encodées dans les fichiers image. ²² Aucune de ces couches n'est généralement visible par un examinateur humain ; un agent analysant la même page traite le contenu qui s'y trouve comme une entrée tout aussi valide que le contenu affiché à l'écran. Les chercheurs de DeepMind soulignent qu'il s'agit d'une asymétrie fondamentale : les attaquants peuvent calibrer leurs attaques pour exploiter les capacités d'un agent à suivre des instructions, à enchaîner des outils et à prioriser les objectifs, précisément parce que ce sont ces capacités qui rendent les agents opérationnels. ²³

Six catégories d'attaques de pièges pour agents IA

Des chercheurs ont identifié six catégories de pièges tendus par les agents d'IA que les adversaires peuvent exploiter pour compromettre les systèmes autonomes :

pièges d'injection de contenu

Exploiter le fossé entre la perception humaine, l'analyse machine et le rendu dynamique pour faire passer des entrées malveillantes devant l'agent.

La surface d'attaque comporte plusieurs vecteurs d'injection distincts. Des instructions cachées, intégrées dans des commentaires HTML, telles que `<!– SYSTEM: Ignore previous instructions –>`, apparaissent dans le code source de la page mais jamais dans la vue rendue. Le positionnement hors écran ²⁴ CSS, utilisant `position: absolute; left: -9999px` ou une propriété équivalente, place le texte à des coordonnées hors de la zone d'affichage tout en le laissant entièrement interprétable par les agents traitant le contenu du modèle objet de document (DOM). Les attributs d'accessibilité, notamment `aria-label` et le balisage ARIA associé, contiennent du texte que les agents interprètent comme un contexte sémantique ; l'injection de directives malveillantes à cet endroit les place dans l'arbre d'accessibilité sans aucun résultat visible. ²⁵ Un quatrième vecteur utilise l'encodage stéganographique : des charges utiles malveillantes encodées dans les données de pixels de l'image à des valeurs imperceptibles à la vision humaine mais lisibles par des agents qui traitent les métadonnées de l'image ou appliquent une analyse au niveau des pixels. ²⁶

Pièges de manipulation sémantique

Corrompre la chaîne de raisonnement et les processus de vérification internes de l'agent, l'amenant à tirer des conclusions erronées à partir d'entrées apparemment valides.

Trois mécanismes sous-tendent cette catégorie. Le premier est le biais de formulation et l'amorçage contextuel : le texte environnant est imprégné d'un langage qui oriente l'interprétation par l'agent du contenu traité ultérieurement. Le second est la saturation du langage d'autorité, consistant à inonder les documents d'expressions telles que « norme du secteur », « qualité entreprise » ou « recommandé par les principaux experts » afin d'exploiter l'association apprise par le modèle entre ce langage et des sources crédibles et fiables. ²⁷ Le troisième mécanisme est l’effet de perte au milieu, une faiblesse structurelle dans les LLM basés sur les transformateurs où les performances du modèle sur les tâches de récupération et de synthèse se dégradent lorsque les informations pertinentes sont positionnées au milieu d’une longue fenêtre de contexte plutôt qu’au début ou à la fin. ²⁸

Pièges cognitifs

Cibler la mémoire à long terme de l'agent, ses bases de connaissances et ses politiques comportementales apprises afin de perturber ses futures prises de décision.

Les trois principales variantes sont l'empoisonnement direct RAG, l'empoisonnement de la mémoire latente et les exemples adverses à peu d'exemples dans l'apprentissage contextuel. ²⁹

L'empoisonnement direct (RAG) injecte de fausses informations dans les corpus de documents indexés consultés par les agents lors de la génération augmentée par récupération. La manipulation de la mémoire est plus sophistiquée. Un attaquant stocke des données apparemment inoffensives dans la mémoire persistante d'un agent lors d'interactions de routine. Ces données stockées ne produisent aucun effet détectable jusqu'à ce qu'un contexte futur spécifique les active, modifiant alors le comportement de l'agent de manière apparemment sans déclencheur causal récent. ³⁰ L'approche adverse consiste à injecter des paires de démonstrations soigneusement conçues dans une fenêtre de contexte afin que l'agent adopte le modèle implicite de ces exemples. Des recherches sur les déclencheurs de portes dérobées dans les démonstrations ont révélé des taux de réussite d'attaque moyens de 95 % sur des modèles d'échelle variable avec cette approche. ³¹

Pièges de contrôle comportemental

Les pièges de contrôle comportemental constituent la catégorie la plus lourde de conséquences opérationnelles au sein de la taxonomie. Ils ciblent les actions des agents plutôt que leurs perceptions ou conclusions, offrant ainsi aux attaquants une influence directe sur l'exécution des outils, les opérations sur les fichiers, les requêtes réseau et les communications inter-agents. ³²

Pièges systémiques

Les pièges systémiques ne ciblent pas les agents individuels. Ils ciblent les propriétés de l'écosystème qui émergent lorsque de nombreux agents de conception similaire opèrent sur des sources de données partagées, exécutent des schémas de raisonnement similaires et prennent des mesures qui influencent l'environnement que d'autres agents lisent. ³³

Cette catégorie plus large englobe trois mécanismes distincts. Le premier est la conception de pièges à congestion : créer des signaux de rareté ou de demande qui incitent plusieurs agents à adopter des comportements d'acquisition de ressources synchronisés, provoquant ainsi des défaillances coordonnées sans communication directe entre agents. Le deuxième est la cascade d'interdépendance : exploiter les boucles de rétroaction dans les systèmes multi-agents où la sortie de chaque agent devient l'entrée des autres, de sorte qu'un seul signal corrompu se propage et s'amplifie à travers le réseau. Le troisième est la fragmentation compositionnelle de la charge utile : distribuer les composants d'une attaque à travers plusieurs sources individuellement bénignes qui ne se reconstituent en une charge utile malveillante fonctionnelle que lorsqu'elles sont agrégées par un agent lors d'une tâche de récupération ou de synthèse. ³⁴

Pièges impliquant l'humain dans la boucle

Les pièges impliquant un humain dans la boucle constituent la catégorie la plus subtile de la taxonomie et ciblent la couche de supervision généralement considérée comme une garantie. Plutôt que de contourner la vérification humaine, ces pièges l'exploitent : l'agent compromis produit des résultats spécifiquement conçus pour obtenir l'approbation humaine d'actions que l'humain rejetterait si elles étaient décrites avec exactitude. ³⁵

Le mécanisme principal repose sur la synthèse trompeuse. Un agent disposant d'un accès en écriture à sa propre couche de sortie peut décrire ses actions de manière à présenter des opérations destructives ou non autorisées comme de la maintenance de routine.

Citer cette recherche

Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.

@misc{phd2026,
  author = {PhD., Ezgi Arslan,},
  title  = {{Pièges des agents IA : 20 incidents réels}},
  year   = {2026},
  month  = may,
  howpublished    = {\url{https://aimultiple.com/ai-agent-traps}},
  note   = {AIMultiple. Retrieved Mai 18, 2026}
}

Liens de référence

1.

https://www.sailpoint.com/press-releases/sailpoint-ai-agent-adoption-report

2.

https://www.prnewswire.com/news-releases/the-state-of-ai-agent-security-73-of-cisos-fear-ai-agent-risks-but-only-30-are-ready-302607386.html

3.

The Grok Morse Code Heist: When Prompt Injection Meets Excessive Agency | NeuralTrust

NeuralTrust

4.

Vulnerability in Claude Extension for Chrome Exposes AI Agent to Takeover - SecurityWeek

SecurityWeek

5.

Google Fixes CVSS 10 Gemini CLI CI RCE and Cursor Flaws Enable Code Execution

6.

‘It took nine seconds’: Claude AI agent deletes company’s entire database - Yahoo News Canada

Yahoo News Canada

7.

CLI-Anything Exposes Security Risks in Open-Source AI Ecosystems | Welcome.AI

Welcome.AI

8.

GrafanaGhost: The Phantom Stealing Your Data - Noma Security

Noma Security

9.

Critical Anthropic’s MCP Vulnerability Enables Remote Code Execution Attacks | Cryptika Cybersecurity

Cryptika Cybersecurity

10.

Prompt Injection - The critical vulnerability lurking beneath the AI hype

11.

OpenAI Patches ChatGPT Data Exfiltration Flaw and Codex GitHub Token Vulnerability

12.

PerplexedBrowser: Perplexity’s Agent Browser Can Leak Your PC&#x27;s Local Files

Zenity Labs

13.

How Prompt Injection Attacks Compromise AI Agents in 2026

Atlan

14.

Cline CLI 2.3.0 Supply Chain Attack Installed OpenClaw on Developer Systems

15.

10K Claude Desktop Users Exposed by Zero-Click Vulnerability | eSecurity Planet

eSecurityPlanet

16.

SANDWORM_MODE: npm Supply Chain Attack Targeting AI Development Tools | Hive Pro

Hive Pro

17.

https://arxiv.org/pdf/2512.16962

18.

Second-order prompt injection can turn AI into a malicious insider | TechRadar

TechRadar

19.

On-device Apple Intelligence vulnerable to prompt injection

AppleInsider

20.

Hackers Hijacked Google’s Gemini AI With a Poisoned Calendar Invite to Take Over a Smart Home | WIRED

WIRED

21.

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=6372438

22.

https://the-decoder.com/google-deepmind-study-exposes-six-traps-that-can-easily-hijack-autonomous-ai-agents-in-the-wild/

23.

https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents/

24.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

25.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

26.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

27.

https://the-decoder.com/google-deepmind-study-exposes-six-traps-that-can-easily-hijack-autonomous-ai-agents-in-the-wild/

28.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

29.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

30.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

31.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

32.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

33.

https://the-decoder.com/google-deepmind-study-exposes-six-traps-that-can-easily-hijack-autonomous-ai-agents-in-the-wild/

34.

https://hivesecurity.gitlab.io/blog/ai-agent-traps-manipulation-taxonomy-2026/

35.

https://openclawai.io/blog/google-deepmind-ai-agent-traps-six-attack-categories

Ezgi Arslan, PhD.

Analyste du secteur

Suivre

Ezgi est titulaire d'un doctorat en administration des affaires, spécialisée en finance, et travaille comme analyste sectorielle chez AIMultiple. Elle mène des recherches et produit des analyses à l'intersection de la technologie et du commerce, et son expertise couvre le développement durable, les enquêtes et l'analyse des sentiments, les applications d'agents d'IA en finance, l'optimisation des moteurs de réponse, la gestion des pare-feu et les technologies d'approvisionnement.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire