AI interface showing prompt error warning and system alert. AI prompt failure can lead to incorrect output or hallucination. Managing AI prompt error is crucial in safe AI deployment. Muxer

L’injection rapide de l’IA devient réelle – avec les macros la dernière menace cachée

Lucas Morel

Les attaquants évoluent leurs tactiques de livraison de logiciels malveillants par des invites malveillantes d’armes intégrées dans des macros de documents pour pirater les systèmes d’IA.

Les attaquants exploitent de plus en plus l’IA génératrice en intégrant des invites malveillantes dans les macros et en exposant des données cachées via des analyseurs.

ENEA a ajouté: « En règle générale, l’objectif final est de tromper le système d’IA pour classer les logiciels malveillants comme sûrs. »

Dane Sherrets, architecte des innovations du personnel chez Bug Bounty Platform Hackerone, a déclaré que l’intégration d’invites malveillantes dans les macros est un excellent exemple de l’endroit où les capacités de la génération AI peuvent être retournées contre les systèmes eux-mêmes.

« Cette technique utilise des macros pour fournir une forme d’injection rapide, nourrissant des entrées trompeuses qui poussent le LLM pour se comporter de manière involontaire », a déclaré Sherrets. «Cela peut amener le système à cracher des données sensibles ou confidentielles ou aider l’acteur malveillant à accéder à l’arrière du système.»

Injection rapide sur un clic zéro

Des exemples isolés d’exploits et de malwares abusant la génération AI ont seulement commencé à émerger plus tôt cette année.

Par exemple, les chercheurs d’AIM Security ont récemment découvert Echoleak (CVE-2025-32711), une vulnérabilité d’injection rapide sur un clic découvert dans Microsoft 365 Copilot, et décrit comme la première attaque de ce type sur un agent d’IA.

«Les attaquants pouvaient intégrer des instructions cachées dans des fichiers commerciaux courants comme les e-mails ou les documents Word, et lorsque Copilot a traité le fichier, il a exécuté ces instructions automatiquement», a expliqué Quentin Rhoads-Herrera, vice-président des services de cybersécurité à Stratascale.

En réponse à la vulnérabilité, Microsoft a recommandé le correctif, la restriction de l’accès du copilote, le déshabillement des métadonnées cachées à partir de fichiers partagés et l’activation de ses contrôles de sécurité AI intégrés.

Une autre attaque similaire, CurXecute (CVE-2025-54135), a permis l’exécution du code distant par l’injection rapide dans les environnements de développement de logiciels.

« Les attaquants continueront de trouver de nouvelles façons d’intégrer leurs injections rapides dans des endroits qui sont hors de vue pour l’utilisateur mais qui sont néanmoins traités par la LLM », a déclaré Itay Ravia, responsable de la recherche de AIM Labs. « L’intégration d’injections rapides dans les macros n’est qu’une des dernières tendances. »

L’astuce Jedi Mind s’est tournée contre les scanners de logiciels malveillants basés sur l’IA

Le malware «Skynet», découvert en juin 2025, a présenté une tentative d’injection rapide contre des outils de sécurité alimentés par l’IA. La technique a été conçue pour manipuler les systèmes d’analyse des logiciels malveillants AI en déclarant faussement qu’aucun logiciel malveillant n’a été détecté dans un échantillon via une forme de «truc d’esprit Jedi».

Les chercheurs de Check Point estiment que les logiciels malveillants étaient probablement une expérience de preuve de concept par des développeurs de logiciels malveillants.

« Nous avons déjà vu des attaques de preuve de concept où les invites malveillantes sont cachées à l’intérieur de documents, de macros ou de fichiers de configuration pour tromper les systèmes d’IA dans des données exfiltrant ou exécutant des actions involontaires », a commenté Rhoads-Herrera de Stratascale. «Les chercheurs ont également démontré comment les LLM peuvent être induites en erreur grâce à des instructions cachées dans les commentaires de code ou les métadonnées, montrant le même principe à l’œuvre.»

Rhoads-Herrera a ajouté: « Bien que certains d’entre eux restent axés sur la recherche, les techniques se déplacent rapidement entre les mains d’attaquants qui sont qualifiés pour armer la preuve de concepts. »

Sous le radar

Ensar Seker, CISO chez le vendeur de renseignements sur les menaces Socradar, a décrit l’abus des systèmes Gen AI par injection rapide comme une évolution des tactiques de livraison de logiciels malveillants.

« Il ne s’agit plus seulement de laisser tomber une charge utile; il s’agit de fabriquer des instructions dynamiques qui peuvent manipuler le comportement au moment de l’exécution, puis de cacher ou d’encoder ces instructions afin qu’ils échappent aux outils de numérisation traditionnels », a déclaré Seker.

Jason Keirstead, vice-président de la stratégie de sécurité de la société d’opérations de sécurité Simbian AI, a déclaré que de nombreuses attaques d’injection rapides contre les systèmes Gen Gen AI allaient sous le radar.

« Par exemple, les gens mettent des invites malveillantes dans les CV qu’ils téléchargent sur des sites de recrutement, provoquant les IA utilisées dans les portails d’emploi pour faire surface leur curriculum vitae », a expliqué Keirstead. « Nous avons également récemment vu les invites malveillantes qui ciblaient le navigateur de la comète, etc. »

Menace furtive et systémique

Dorian Granoša, scientifique des données de l’équipe rouge chez les spécialistes de la sécurité de l’IA SPLXAI, a déclaré que l’injection rapide est devenue une «menace furtive et systémique» dans les déploiements réels testés par l’entreprise.

«Les attaquants cachent les instructions via des polices ultra-petites, du texte correspondant à l’arrière-plan, de la contrebande ASCII à l’aide de balises Unicode, des macros qui injectent des charges utiles au moment de l’analyse et même des métadonnées de fichiers (par exemple, Docx Properties, PDF / XMP, EXIF)», a expliqué Granoša. «Ces vecteurs échappent à l’examen humain mais sont entièrement analysés et exécutés par les LLM, permettant une injection rapide indirecte.»

Contre-mesures

Justin EndaS, chef de la sécurité des données chez le fournisseur de cybersécurité Seclore, a fait valoir que les chefs de sécurité ne peuvent pas compter sur des outils hérités seuls pour se défendre contre des invites malveillantes qui transforment «les fichiers quotidiens en chevaux de Troie pour les systèmes d’IA».

« (Les chefs de sécurité) ont besoin de défenses en couches qui désinfectent le contenu avant qu’elle n’atteigne un analyseur d’IA, applique des garde-corps stricts autour des entrées du modèle et maintiens les humains dans la boucle pour les flux de travail critiques », a indiqué Endres. « Sinon, les attaquants seront ceux qui écrivent les invites qui façonnent le comportement de votre IA. »

La défense contre ces types d’attaques implique une combinaison de procédures de défense technique et de contrôles politiques, tels que:

  • Effectuez une inspection profonde de tout fichier qui entre dans un environnement d’entreprise, en particulier à partir de sources non fiables. « Utilisez des outils de sable, d’analyse statique et de simulation comportementale pour voir ce que font les macros ou les invites intégrées avant l’ouverture », a indiqué Seker de Socradar.
  • Implémentez des politiques qui isolent l’exécution de la macro – par exemple, l’application Sandboxing ou la vue protégé de Microsoft.
  • Évaluez les outils de désarmement et de reconstruction du contenu (CDR). « CDR reconstruit les fichiers sans contenu actif, neutralisant les menaces intégrées », a expliqué Seker de Socradar. «Cela est particulièrement efficace pour les PDF, les fichiers de bureau et autres documents structurés.»
  • Désinfecter toute entrée (invites) dans les systèmes d’IA génératifs.
  • Concevoir des systèmes AI pour inclure un composant «Vérification» qui examine les entrées et applique des garde-corps.
  • Appliquer des protocoles clairs pour valider les sorties AI.

Les contre-mesures les plus efficaces se résument à la visibilité, à la gouvernance et aux garde-corps, selon Rhoads-Herrera de Stratascale.

Le Seker de Socradar a fait valoir que les entreprises devraient traiter les pipelines d’IA de la même manière qu’ils gèrent les pipelines CI / CD en étendant les principes zéro-frust dans leur analyse de données et les flux de travail de l’IA. En pratique, cela signifie introduire des garde-corps, appliquer la vérification de la sortie et utiliser des filtres contextuels pour empêcher les instructions non autorisées d’être exécutées ou agies par des systèmes basés sur LLM.

« J’encourage fortement les CISO et les équipes rouges à commencer à tester les workflows compatibles avec l’IA contre les invites adversaires aujourd’hui, avant que les acteurs de la menace ne fassent ce grand public », a conclu Seker.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen