Des chercheurs en sécurité ont démontré une nouvelle cyberattaque qui incite les agents d’IA à voler des données sensibles dans les boîtes de réception de courrier électronique, mettant ainsi en évidence les risques émergents dans les systèmes d’IA agentiques. Dans une preuve de concept baptisée « Shadow Leak », les experts de Radware ont exploité l’outil Deep Research d’OpenAI, intégré à ChatGPT, pour extraire secrètement des informations de Gmail à l’insu des utilisateurs. La vulnérabilité, qu’OpenAI a depuis corrigée, souligne les dangers potentiels des assistants IA qui fonctionnent de manière autonome pour le compte des utilisateurs.
Les agents d’IA comme Deep Research sont conçus pour améliorer la productivité en accédant à des données personnelles et professionnelles, telles que des e-mails, des calendriers et des documents, pour effectuer des tâches telles que la navigation sur le Web et le clic sur des liens. Lancé plus tôt cette année, Deep Research permet aux utilisateurs de déléguer des activités de recherche complexes. Cependant, l’expérience de Radware a révélé comment ces fonctionnalités peuvent être détournées via une injection rapide, une technique dans laquelle des instructions malveillantes sont intégrées dans un contenu apparemment inoffensif, tel qu’un e-mail.
L’attaque a commencé lorsque des chercheurs ont envoyé un e-mail spécialement conçu à une boîte de réception Gmail autorisée pour l’accès à Deep Research. Cachées dans l’e-mail – potentiellement sous forme de texte blanc invisible sur fond blanc – se trouvaient des instructions qui restaient en sommeil jusqu’à ce que l’utilisateur invoque l’outil d’IA. Lors de l’activation, Deep Research a rencontré une invite lui demandant de rechercher des e-mails et des informations personnelles liés aux ressources humaines, puis d’exfiltrer les données vers un point de terminaison contrôlé par un attaquant. L’ensemble du processus s’est déroulé sur l’infrastructure cloud d’OpenAI, contournant les mesures de cybersécurité traditionnelles telles que la détection des points finaux, car les données n’ont jamais quitté l’environnement sécurisé de l’IA avant leur transmission.
Le développement de cet exploit a été un véritable défi, impliquant « des montagnes russes de tentatives infructueuses, des barrages routiers frustrants et, finalement, une avancée décisive », selon l’équipe Radware. Contrairement aux injections rapides classiques qui manipulent les instances d’IA locales, Shadow Leak a exploité l’exécution à distance de l’agent, le rendant particulièrement furtif. Les chercheurs ont souligné que les utilisateurs n’en étaient absolument pas conscients, car l’IA effectuait ses actions malveillantes de manière transparente lors des tâches de routine.
Les conclusions de Radware s’étendent au-delà de Gmail, avertissant que les applications connectées, notamment Outlook, GitHub, Google Drive et Dropbox, pourraient être confrontées à des menaces similaires. “La même technique peut être appliquée à ces connecteurs supplémentaires pour exfiltrer des données commerciales très sensibles telles que des contrats, des notes de réunion ou des dossiers clients”, précise la société. Les injections rapides ont déjà été utilisées de manière malveillante dans des scénarios tels que le trucage d’évaluations universitaires par les pairs, la perpétration d’escroqueries et même le contrôle d’appareils domestiques intelligents, échappant souvent à la détection parce que les instructions sont imperceptibles pour les humains.
OpenAI a corrigé la faille spécifique signalée par Radware en juin, en mettant en œuvre des correctifs pour empêcher de telles sorties de données non autorisées. Néanmoins, l’incident sert de mise en garde pour une adoption plus large de l’IA agentique. À mesure que ces outils prolifèrent, les organisations et les utilisateurs doivent donner la priorité à des mesures de protection robustes, notamment en surveillant les interactions de l’IA et en limitant les étendues d’accès aux données. Les experts en cybersécurité recommandent la vigilance, notant que même si les injections rapides sont difficiles à anticiper sans exploits connus, une journalisation améliorée et une détection des anomalies dans les flux de travail de l’IA pourraient atténuer les risques futurs.
Cette démonstration intervient dans un contexte d’examen minutieux croissant de la sécurité de l’IA. Alors que les systèmes agents promettent des gains d’efficacité, des incidents comme Shadow Leak rappellent aux parties prenantes que l’innovation doit être équilibrée avec des défenses renforcées pour protéger les informations sensibles dans un monde de plus en plus dépendant de l’IA.
