L’importance croissante des agents d’IA dans le développement logiciel
Dans de nombreux équipes de développement, l’utilisation d’agents d’intelligence artificielle pour examiner les incidents, analyser des changements de code et exécuter des tâches auparavant réservées aux humains devient monnaie courante. Cependant, un grave problème apparaît lorsque ces systèmes non seulement traitent des informations externes, mais opèrent également dans des environnements contenant des clés, tokens et permissions sensibles. Une recherche récente a révélé que nous sommes face non seulement à un outil utile mais aussi à une architecture potentiellement dangereuse si elle est déployée sans limites claires.
Vulnerabilités révélées par Aonan Guan et son équipe
La mise en lumière de ce problème a été effectuée par Aonan Guan ainsi que par des chercheurs de l’Université Johns Hopkins, Zhengyu Liu et Gavin Zhong. Ils ont prouvé l’existence d’attaques contre trois agents déployés sur des plateformes comme Claude Code Security Review d’Anthropic, Gemini CLI Action de Google et GitHub Copilot Agent de Microsoft. Ces failles ont été signalées et des récompenses financières ont été versées par les entreprises concernées.
Des attaques internes : le concept de “Comment and Control”
Guan a nommé sa découverte “Comment and Control”. Plutôt que d’établir une infrastructure externe pour diriger les attaques, le mécanisme utilise le propre canal de GitHub comme axe d’attaque. L’attaquant insère une instruction dans un titre, un incident ou un commentaire, et l’agent traite celle-ci comme si elle faisait partie du flux de travail normal, à des résultats potentiellement dangereux.
Les implications sérieuses de ces failles
Ces agents partagent une logique commune : lire du contenu normal de GitHub, l’intégrer comme contexte de travail, puis exécuter des actions automatisées. Cependant, ce même espace contient non seulement des textes issus de tiers, mais également des outils, permissions et secrets nécessaires au fonctionnement de l’agent.
Dans le cas de Claude Code Security Review, par exemple, l’insertion d’instructions malveillantes dans le titre d’une pull request suffisait pour que l’agent exécute des commandes et retourne des résultats comme s’ils faisaient partie de la révision. Ce schéma a également été observé chez Google et GitHub Copilot Agent, où des informations sensibles pouvaient être exposées.
Les notifications et récompenses : un manque de transparence
Malgré les récompenses versées par Anthropic, Google et GitHub pour ces découvertes, aucun avis public n’a été émis ni de CVE attribué au moment dessignalements. Guan a souligné que certains utilisateurs pourraient rester exposés à des versions vulnérables sans s’en rendre compte.
- Anthropic a résolu le problème le 25 novembre 2025 avec un paiement de 100 $.
- Google a récompensé le rapport le 20 janvier 2026 avec un montant de 1 337 $.
- GitHub a clos le dossier le 9 mars 2026, en versant 500 $.
Prévenir d’autres failles dans le futur
Guan indique que le schéma observé pourrait se retrouver dans d’autres agents qui fonctionnent avec des outils et secrets au sein de flux automatisés. Cela va des bots connectés à Slack jusqu’aux agents Jira, ce qui crée un terrain propice aux attaques internes. Les équipes de développement doivent repenser la façon dont ces agents sont configurés.
Conclusion : une approche par le principe du moindre privilège
Aucune solution miracle n’est proposée, mais Guan insiste sur le principe classique en matière de sécurité : fournir aux systèmes que ce dont ils ont réellement besoin pour fonctionner. Les agents qui vérifient le code ne devraient pas avoir accès à des secrets ou outils inutiles, une pratique qui devrait devenir la norme dans la gestion de ces technologies.