Les agents IA échouent à résister aux attaques par injection d’instructions dans une nouvelle étude

Des chercheurs de quatre institutions ont publié, jeudi, une étude concluant que des agents IA alimentés par GPT-5 et Gemini 2.5-Flash ne parviennent pas à résister aux attaques par injection de prompts. Les attaques directes ont réussi plus de 79% du temps, tandis que les attaques indirectes ont atteint des taux de réussite compris entre 41,67% et 68,16%. Ces résultats mettent en évidence des vulnérabilités de sécurité persistantes, à mesure que des agents IA capables de navigation web autonome, de recherche et de transactions sont déployés plus largement.

L’injection de prompts survient lorsque des attaquants intègrent des instructions cachées dans un contenu qu’un agent IA rencontre, l’amenant à suivre les directives de l’attaquant plutôt que celles de l’utilisateur. L’étude a été menée par des chercheurs de la Nanyang Technological University, ST Engineering, IBM Research et de l’université de l’Illinois Urbana-Champaign.

Les chercheurs réalisent 3 168 simulations d’attaque avec StakeBench

L’équipe de recherche a développé StakeBench, un banc d’essai qui évalue la manière dont les agents IA réagissent aux attaques par injection de prompts dans des environnements en ligne réalistes. Ils ont mené 3 168 simulations d’attaque en utilisant NanoBrowser et BrowserUse avec GPT-5 et Gemini 2.5-Flash.

Les chercheurs ont écrit que les bancs d’essai de sécurité existants adoptent une perspective centrée sur l’attaque tout en négligeant la répartition des préjudices qui en résultent. Ils ont indiqué que le risque d’injection de prompts dépend de la victime, une seule exploitation produisant des conséquences asymétriques pour différents acteurs.

StakeBench examine trois facteurs : la distance sémantique entre l’objectif injecté et l’intention originale de l’utilisateur, la cohérence des signaux environnementaux environnants, et la position le long de la trajectoire d’exécution de l’agent à laquelle le banc d’essai le expose pour la première fois au contenu injecté.

Microsoft et Google ont documenté des attaques par injection de prompts

En février, des chercheurs de Microsoft ont averti que des instructions cachées intégrées dans des liens de résumé d’IA pourraient influencer le comportement des chatbots. En avril, Google a documenté des attaques par injection de prompts cachées dans des pages web qui tentaient de manipuler des agents IA pour qu’ils divulguent des identifiants ou envoient des paiements.

Microsoft a divulgué une faille d’injection de prompts dans l’action GitHub Anthropic's Claude Code, qui aurait pu exposer des identifiants d’utilisateurs.

L’étude identifie un schéma d’attaque de parasitisme furtif

L’étude a identifié ce que les chercheurs appellent le « parasitisme furtif », dans lequel un agent IA accomplit la tâche d’un utilisateur tout en faisant progresser simultanément l’objectif d’un attaquant. Par exemple, le parasitisme furtif causé par une attaque par injection de prompts pouvait influencer subtilement des recommandations de produits, en orientant les utilisateurs vers un article particulier sans aucun signe évident que le système avait été compromis.

Les chercheurs ont conclu que la sécurité contre l’injection de prompts dans des agents web déployables n’est pas une propriété scalaire du modèle « backbone », mais une distribution de préjudices déterminée conjointement par l’acteur concerné, l’alignement sémantique entre l’objectif injecté et la tâche de l’utilisateur, et le contexte architectural dans lequel le « backbone » est déployé.

FAQ

Que les chercheurs ont-ils trouvé sur la sécurité des agents IA jeudi ?

Des chercheurs de la Nanyang Technological University, ST Engineering, IBM Research et de l’université de l’Illinois Urbana-Champaign ont publié, jeudi, une étude concluant que des agents IA alimentés par GPT-5 et Gemini 2.5-Flash ne parviennent pas à résister de manière constante aux attaques par injection de prompts, les attaques directes réussissant plus de 79% du temps.

Qu’est-ce que le parasitisme furtif dans les attaques d’agents IA ?

Le parasitisme furtif est un schéma identifié dans l’étude selon lequel un agent IA accomplit la tâche d’un utilisateur tout en faisant progresser simultanément l’objectif d’un attaquant, par exemple en influençant subtilement des recommandations de produits sans signes évidents de compromission.

Combien de simulations d’attaque les chercheurs ont-ils menées ?

L’équipe de recherche a mené 3 168 simulations d’attaque en utilisant NanoBrowser et BrowserUse avec GPT-5 et Gemini 2.5-Flash afin de tester la réaction des agents IA aux attaques par injection de prompts.