Leaders d’opinion

Lorsque l’IA devient la surface d’attaque : les risques émergents de la chaîne d’approvisionnement dans les marchés de compétences

mm
Publié le

Chaque grande révolution logicielle introduit une nouvelle chaîne d’approvisionnement et une nouvelle surface d’attaque. Alors que l’ère du code ouvert a introduit des risques de chaîne d’approvisionnement via des registres de packages tels que npm et PyPI, les agents IA marquent un point d’inflexion. Ces agents, actifs dans les flux de travail des développeurs, les opérations d’entreprise et les applications grand public sur des plateformes telles que OpenClaw, Claude Code et Cursor, tirent leur puissance de leurs extensions grâce à des “compétences” installables – une capacité qui nécessite une approche de sécurité tout aussi rigoureuse.

Les compétences des agents sont des packages de capacités : de petits bundles d’instructions et de scripts qui accordent aux agents IA l’accès à des outils, des API externes et des systèmes de fichiers locaux. Distribués sur des plateformes publiques telles que ClawHub, la barrière à l’entrée est extrêmement basse, avec un minimum de contrôle ou de surveillance. Des mesures de sécurité clés telles que la signature de code obligatoire, les audits de sécurité et le sandboxing par défaut sont absentes. Cela a conduit à une chaîne d’approvisionnement compromise à grande échelle : des recherches récentes sur ToxicSkills, qui ont scanné près de 4 000 compétences, ont trouvé qu’environ 1 compétence sur 8 contient au moins une faille de sécurité critique, notamment la distribution de logiciels malveillants et l’injection de invites. Lorsque l’on étend à tout niveau de gravité, plus d’un tiers de l’écosystème est affecté. Par conséquent, les responsables de la sécurité doivent être prêts à atténuer proactivement ces vulnérabilités.

L’anatomie d’une attaque de chaîne d’approvisionnement d’IA

Les attaques de chaîne d’approvisionnement traditionnelles exploitent le code via des fonctions malveillantes injectées dans les dépendances et les flux de travail de CI pour des actions telles que l’exfiltration de données, l’installation de portes dérobées ou l’élévation de privilèges. Cependant, les outils de sécurité sont devenus efficaces pour détecter ces modèles de code à l’aide d’une analyse statique et d’une surveillance comportementale. Les compétences des agents IA introduisent un vecteur différent, car leur charge principale est constituée de langage naturel, contenu dans le fichier SKILL.md – un ensemble d’instructions que les acteurs malveillants ont appris à utiliser comme arme. Les recherches sur ToxicSkills montrent que 91 % des compétences malveillantes combinent des logiciels malveillants traditionnels avec des injections d’invites, en intégrant des instructions cachées qui manipulent la raison de l’agent en temps de fonctionnement.

Le flux d’attaque est simple : un développeur installe une compétence utile, qui contient une injection d’invite cachée conçue pour outrepasser les garde-fous de sécurité de l’agent. L’agent, en suivant des instructions qu’il ne peut pas distinguer des instructions légitimes, vole des informations d’identification, exfiltre des fichiers ou installe une porte dérobée tout en fonctionnant normalement.

Ceci est alarmant en raison du nombre de développeurs qui exécutent des agents sans contrôles de sécurité réguliers, accordant aux agents une autonomie totale sans garde-fous. Par conséquent, une considération attentive et une présence humaine sont grandement minimisées, présentant plus de risques pour chaque système que l’agent a jamais touché.

Le danger caché des compétences “fuites”

Le danger s’étend au-delà des compétences intentionnellement malveillantes, car les vulnérabilités involontaires sont souvent plus difficiles à détecter, plus largement réparties et intégrées dans des compétences fonctionnelles populaires et de confiance. Les audits de sécurité des principaux marchés de compétences montrent que des compétences largement adoptées obligent régulièrement les agents IA à gérer des données sensibles de manière non sécurisée. Les comportements à risque incluent l’exposition de clés API, de jetons d’authentification et de données personnelles via des journaux en texte brut, des fichiers non protégés ou directement dans la fenêtre de contexte du modèle, où elles peuvent être transmises involontairement à des services tiers.

Ceci est souvent dû au fait que les compétences sont construites rapidement dans l’ère du “codage vibe” sans un véritable modèle de sécurité. Le développeur peut négliger le fait qu’un jeton d’intégration, une fois dans le contexte de l’agent, est effectivement ouvert et visible pour chaque système en aval. Cela crée un risque généralisé sur les plateformes – assistants personnels tels que OpenClaw et agents de codage tels que Claude Code, Cursor et Windsurf – sur lesquels des millions de développeurs comptent quotidiennement. L’exploitation ou la fuite de données d’une seule compétence populaire peut avoir un impact sur chaque développeur, code source et système que l’agent a eu accès, laissant ainsi l’ensemble de la chaîne d’approvisionnement à risque. L’innovation rapide permet une contamination rapide ; et dans ces cas, l’échelle n’est pas un signal de sécurité.

Le point aveugle : pourquoi les contrôles de sécurité traditionnels échouent

Les équipes de sécurité qui opèrent avec des contrôles legacy tels que des analyseurs de logiciels malveillants, une analyse statique et une surveillance comportementale, s’attaquent à un modèle de menace fondamentalement différent. La détection traditionnelle de logiciels malveillants cherche à exploiter du code, mais n’est pas équipée pour analyser les instructions de langage naturel pour une intention malveillante. Une injection d’invite dans un fichier SKILL.md apparaît, à un scanner conventionnel, simplement comme de la documentation ; il n’y a pas de signature à signaler jusqu’à ce que l’agent agisse.

Les injections d’invites manipulent la raison de l’agent, le faisant réinterpréter les instructions et outrepasser les directives de sécurité pour procéder à des actions interdites. Lorsque les dégâts sont visibles, l’agent a déjà agi. La persistance de ces menaces est également préoccupante : les compétences malveillantes peuvent empoisonner la mémoire à long terme d’un agent, corrompant le contexte persistant entre les sessions. Ce scénario d'”agent dormant” signifie que l’agent peut continuer à exécuter des instructions malveillantes des semaines après la suppression de la compétence, une situation que la réponse aux incidents conventionnelle ne peut contenir. Fermer cette faille nécessite une approche fondamentalement différente, native pour les systèmes agents.

Détection et correction des failles dans l’écosystème des compétences d’agent

Cette nouvelle menace est gérable, mais la fenêtre pour agir est étroite. Avant que l’adoption des agents IA ne s’installe, les responsables de la sécurité doivent établir quatre contrôles de base : des audits, une détection précoce, une rotation des informations d’identification et des garde-fous d’IA appropriés.

  1. Audit et inventaire : Établir un inventaire complet de chaque composant IA : modèles, agents déployés et toutes les compétences installées. Cela doit être traité avec la rigueur d’un tableau de matériaux logiciels (SBOM) pour créer une base de référence pour la détection de modifications non autorisées.
  2. Détecter et supprimer : Analyser en continu les compétences actives à la recherche de charges utiles malveillantes, de modèles d’injection d’invites et de comportements suspects, notamment les tentatives d’exécution de commandes shell ou de contournement de la surveillance de l’utilisateur. L’analyse automatique et continue est essentielle compte tenu de la croissance rapide des marchés.
  3. Rotation et protection des informations d’identification : Traiter toutes les informations d’identification (clés API, jetons) gérées par des compétences non vérifiées comme étant potentiellement compromises et les faire tourner immédiatement. Les agents doivent adhérer au principe du privilège minimum, en accédant uniquement aux informations d’identification et aux systèmes réellement nécessaires, sans accès permanent aux environnements de production.
  4. Mettre en œuvre des garde-fous d’IA : Déployer des contrôles de protection en temps de fonctionnement qui surveillent le comportement de l’agent en temps réel, bloquant les actions dangereuses et signalant les modèles anormaux comme l’accès inattendu à des fichiers. Les fichiers de mémoire de l’agent, en particulier, doivent être surveillés pour des modifications non autorisées, car l’empoisonnement de la mémoire est un vecteur d’attaque persistant et difficile à détecter.

L’écosystème des compétences d’agent IA est une chaîne d’approvisionnement logicielle nécessitant une surveillance de sécurité rigoureuse. Même si les leçons de l’ère du code ouvert s’appliquent, les enjeux sont maintenant beaucoup plus élevés, car les agents IA opèrent avec des autorisations plus larges et une plus grande autonomie que tout gestionnaire de packages. Une seule compétence compromise peut se propager rapidement, obtenant l’accès aux informations d’identification et aux systèmes de production essentiels à travers des milliers d’organisations, de sorte que les responsables de la sécurité ont une fenêtre étroite pour agir de manière proactive.

La chaîne d’approvisionnement d’IA est déjà là. La question est de savoir si la posture de sécurité d’une organisation est prête à la gérer. Les organisations qui établissent un inventaire, appliquent le principe du privilège minimum et déployer des garde-fous en temps de fonctionnement pourront avancer rapidement et en toute sécurité avec l’IA ; tandis que celles qui attendent un incident de grande ampleur pour forcer la question constateront que le coût de la correction dépasse de loin le coût de la prévention.

mm

Manoj dirigele bureau des technologies et des solutions émergentes de Snyk (ETSO). Son équipe est responsable de l'incubation et de la stratégie d'acquisition future de l'entreprise, en veillant à ce que la vision et la stratégie à long terme de Snyk soient pleinement alignées sur les besoins émergents de nos clients. Avant Snyk, Manoj a occupé le poste de directeur des services cloud et de directeur général de Metallic chez Commvault, où il a accéléré la croissance des unités commerciales cloud et SaaS cruciales de l'entreprise. Auparavant, il était co-fondateur et PDG de HyperGrid et a occupé d'autres rôles de direction produit chez Hewlett Packard Enterprise, Dell EMC et RSA Security. Manoj détient également plus d'une douzaine de brevets en matière de gestion de l'information et de sécurité.