
Lors d’un test portant sur les plus importants LLM du marché, Zscaler a constaté que certains agents IA autonomes s’étaient laissés piéger par des instructions cachées sur des sites web.
La sécurité de l’IA devient un sujet de plus en plus important pour les entreprises. Un récent test mené par Zscaler démontre les faiblesses de certains agents IA. En effet, ils ont été bernés par des stratagèmes qui ne tromperaient que très peu d’humains, voire aucun. En examinant diverses formes de pièges d’injection indirecte de prompts (IPI), le fournisseur de solutions de sécurité a constaté que, si de nombreux modèles ont été victimes de ces techniques, certains LLM de niveau inférieur s’en sont mieux sortis que leurs homologues plus coûteux.
Les tests de Zscaler ont notamment révélé que quatre modèles étaient « vulnérables » à l’injection de prompts : Llama3-3-70b-instruct, Llama3-2-90b-instruct, Gemini-3-flash et Gemini-2.5-pro. Trois modèles ont été jugés « sûrs » : Llama4-maverick, Gemini-3.1-pro et Gemini-3.1-flash-lite. Selon ces résultats, il semble que la résistance à l’arnaque de Gemini-2.5-pro est plus faible que celle de Gemini-3.1-flash-lite.
Des résultats à relativiser
Mais Noah Kenney, consultant principal chez Digital 520, pense qu’il ne faut pas nécessairement tirer de conclusion significative de ces expériences, car les agents modifient constamment leur comportement à mesure qu’ils s’alimentent de nouvelles données et révisent leurs hypothèses d’analyse. « Cela signifie qu’un agent ayant échoué à un test spécifique pourrait très bien réussir le même une heure plus tard », a-t-il expliqué. « Le niveau de risque d’un agent évolue constamment, ce qui peut entraîner des résultats très différents. On ne peut pas partir du principe que ces résultats sont généralisables. Le résultat du test ne reflète qu’un instant donné », a insisté M. Kenney. Celui-ci ajoute que « Zscaler essaye de soutenir une thèse qui n’est pas forcément validée par les données ». Il estime qu’une classification binaire « sûr/vulnérable » est trop simpliste pour être utile. « Je ne recommanderais jamais à un RSSI de se fier à une classification binaire. »
L’article complet publié sur le blog de Zscaler affirme que de nombreux agents autonomes sont sensibles aux pièges IPI. L’entreprise dit avoir identifié des IPI intégrés à plusieurs sites web, où des instructions cachées étaient conçues pour manipuler le comportement d’un agent IA. Lors de sa validation interne portant sur 26 grands modèles de langage (LLM), quatre modèles « n’ont pas pris les mesures appropriées », ce qui, selon l’entreprise, apportait la preuve « d’un impact mesurable dans le monde réel, montrant que la vulnérabilité varie selon le modèle et selon le contexte fourni au LLM en plus de la consigne ». L’article ajoute : « À mesure que les agents IA deviennent une interface de plus en plus courante sur le Web, le contenu lui-même va constituer une surface d’attaque plus vaste, ce qui indique que l’IA est une arme à double tranchant capable de rationaliser les flux de travail tout en ouvrant de nouvelles voies d’abus. »
Aman Mahapatra, directeur de la stratégie chez Tribeca Softtech, un cabinet de conseil en technologie basé à New York, estime que si ces résultats ne sont pas surprenants, ils n’en restent pas moins significatifs. Le détail particulièrement inquiétant de ce rapport est que n’importe quel LLM commercial ait pu échouer, « car historiquement, le modèle de sécurité pour l’IA agentique a supposé que l’entraînement à la sécurité au niveau du modèle atténuerait de manière notable ce type d’attaque », a fait remarquer le dirigeant. « Ce n’est pas le cas, et les données de Zscaler constituent la première preuve publique largement citée. »
Un problème d’architecture fondamental
Aman Mahapatra a également indiqué que les exemples cités par Zscaler sont loin d’être aussi préoccupants que les dommages bien plus importants qui pourraient survenir. « Le scénario d’escroquerie au paiement de Zscaler, dans lequel un agent paie de faux ‘frais de licence de développeur’ de 3 dollars pour obtenir une clé API, en est la version la plus bénigne », a-t-il déclaré. « La même technique appliquée à un agent autorisé à effectuer des achats, à traiter des dépenses, à intégrer des fournisseurs ou à exécuter des transactions pourrait entraîner des pertes d’une ampleur tout à fait différente. J’ai vu, au cours des six derniers mois, des banques du classement Fortune 50 mettre en place des workflows basés sur des agents qui échoueraient précisément face à cette attaque lors d’un contrôle en conditions réelles. » Il ajoute que la plupart des fournisseurs d’IA comprennent déjà l’ampleur du risque que représentent les agents IA actuels. « Tout fournisseur de modèles admettra en privé que l’architecture fondamentale du raisonnement basé sur les transformateurs ne permet pas de séparer clairement le contenu non fiable des instructions fiables lorsque les deux partagent la même fenêtre de contexte », a rapporté M. Mahapatra. « La surface d’attaque est d’ordre architectural, et pas seulement comportemental. Cela signifie que la défense doit elle aussi être architecturale, et c’est là que le débat sur l’IA agentique en entreprise accuse encore un retard considérable. »
Les tests menés par Zscaler ont également mis en évidence la différence entre la manière dont les agents IA et les humains traitent l’information. « Les humains se montrent sceptiques face à des instructions auxquelles ils ne s’attendaient pas. Les agents, quant à eux, sont enclins à suivre des métadonnées structurées, car leur entraînement les incite à considérer les champs à signal fort comme faisant autorité. Les humains remarquent lorsqu’une demande de paiement apparaît au milieu d’une tâche sans rapport. Les agents intégreront cette demande de paiement dans leur plan d’exécution si le contexte environnant la présente comme une étape procédurale nécessaire », a expliqué M. Mahapatra. Il note encore que « les humains entretiennent des relations avec les fournisseurs, ont le souvenir d’interactions antérieures et d’un contexte social comme signaux de vérification, alors que les agents ne disposent que de ce qui se trouve dans la fenêtre contextuelle et que celle-ci représente désormais la principale surface d’attaque. »
Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group, a reconnu que les risques décrits dans l’article de Zscaler sont préoccupants, car ils concernent des domaines qui ne sont habituellement pas couverts par la sécurité d’entreprise. « Ces attaques se distinguent des menaces traditionnelles en ce qu’elles ciblent la manière dont les systèmes IA traitent, interprètent et exploitent les informations en coulisses », a déclaré M. Jean-Louis. « L’IA agentique introduit de nouvelles limites en matière de confiance, notamment des contenus non fiables influençant la prise de décision automatisée, des outils et des plugins agissant de manière autonome au nom des utilisateurs, ainsi que des systèmes d’IA fonctionnant avec des autorisations étendues et héritées. Tout cela transforme de fait le défi en un paradigme de menace interne. »