Anthropic, Google et Microsoft ont discrètement corrigé des bugs dans les agents d'IA sans CVE ni avertissements

Le problème avec les agents IA en développement s'est avéré ne pas être théorique : le chercheur en sécurité Aonan Guan a démontré que les outils d'Anthropic, Google et Microsoft intégrés à GitHub Actions peuvent être interceptés par injection de prompt et transformés en un canal de fuite de secrets. Dans les trois cas, l'agent avait seulement besoin de lire du texte préparé par un attaquant dans un contexte de travail ordinaire, après quoi il publierait lui-même des clés API, des jetons GitHub et d'autres données de l'environnement CI. L'attaque a été nommée Comment and Control.

Son essence est que les instructions malveillantes ne sont pas cachées dans un exploit séparé ou un serveur externe, mais directement dans les données GitHub que l'agent est déjà obligé de lire pour son fonctionnement : dans l'en-tête de la demande de tirage, dans la description de l'issue, dans les commentaires et, dans un scénario, même dans un commentaire HTML caché. Après cela, l'agent perçoit le texte non comme des données, mais comme une commande. À partir de là, le schéma est simple : le bot lit l'instruction injectée, exécute l'action nécessaire, extrait les secrets de l'environnement d'exécution de GitHub Actions et retourne le résultat directement à GitHub — par exemple, dans un commentaire PR, un commentaire d'issue, un commit ou un log de pipeline.

Dans le cas d'Anthropic, le composant vulnérable était Claude Code Security Review — une action GitHub pour vérifier les demandes de tirage pour les problèmes de sécurité. Guan a montré qu'il suffisait d'injecter un payload dans l'en-tête du PR pour que l'agent exécute les commandes et inclue le résultat dans sa réponse JSON, qui était ensuite publiée dans un commentaire. Selon la chronologie du chercheur, le rapport a été envoyé à Anthropic le 17 octobre 2025, l'entreprise a attribué au problème une sévérité CVSS de 9.

4 et le 25 novembre a versé 100 $ de bug bounty. La correction s'est réduite à une restriction partielle des appels dangereux et à la mise à jour de la section des considérations de sécurité dans la documentation, mais l'entreprise n'a pas publié d'avis de sécurité public ni de CVE séparé. Un scénario similaire a fonctionné contre Google Gemini CLI Action.

Ici, l'attaquant ajoutait à des issues et commentaires du texte qui se faisait passer pour un fragment de contexte digne de confiance et annulait les instructions de protection du modèle. En résultat, l'agent publiait sa propre clé GEMINI_API_KEY comme un simple commentaire. Selon la chronologie de Guan, Google a reçu le rapport le 29 octobre 2025 et le 20 janvier 2026 a versé 1 337 $.

GitHub Copilot Agent, qui appartient à la gamme de produits de Microsoft, avait un schéma encore plus intéressant : l'instruction malveillante était placée dans un commentaire HTML, invisible pour l'homme dans le rendu Markdown, mais lisible par l'agent. Après que la tâche lui ait été assignée, Copilot suivait ces instructions malgré les couches de protection supplémentaires telles que le filtrage d'environnement, la détection de secrets et les restrictions réseau. GitHub a d'abord fermé le rapport comme informatif, puis après examen supplémentaire l'a rouverte et le 9 mars a versé 500 $.

La conclusion la plus désagréable ici ne concerne pas la taille du bounty, mais le modèle de divulgation. Ni Anthropic, ni Google, ni GitHub n'ont émis d'avertissements publics dans le format habituel de la sécurité, et les CVE pour ces cas n'ont jamais été créés. Cela signifie que les équipes qui ont épinglé les anciennes versions des actions ou intégrations auraient pu ne jamais apprendre le risque.

Pour les scanners de vulnérabilités, un tel problème n'existe comme si de rien n'était, car il n'a pas d'identifiant standard. Pour les équipes de sécurité, il est plus difficile de le mettre sous contrôle, de le suivre dans les registres et de le lier aux procédures internes de correction. Formellement, les entreprises auraient pu considérer l'injection de prompt non pas comme un bug classique dans le code, mais comme un effet secondaire de l'architecture de l'agent, mais d'un point de vue pratique les conséquences sont identiques à celles de toute vulnérabilité critique : la fuite de clés d'accès et de jetons de l'environnement où s'exécute l'automatisation.

L'histoire est également importante car elle remet en question une hypothèse fondamentale de toute la vague d'automatisation de l'IA en développement. Un agent reçoit simultanément l'accès à des entrées utilisateur non fiables, à des outils d'exécution de commandes et à des secrets sensibles, car sinon il ne pourrait pas faire un travail utile. C'est précisément cette combinaison qui crée le risque systémique.

Si l'industrie continue d'intégrer de tels agents dans la révision de code, le triage, le déploiement et CI/CD sans un modèle adéquat d'isolement et de procédure de divulgation d'incidents, les attaques de ce type ne seront plus une exception, mais feront partie régulièrement du modèle de menace.