Ces dernières semaines, la sécurité autour des plateformes qui utilisent le code des agents d'intelligence artificielle a déclenché de nouveau les alarmes. Les chercheurs en cybersécurité ont décrit une technique qui permet d'extraire des informations sensibles en tirant parti des consultations du Système de noms de domaine (SDN) dans des environnements qui, sur papier, devraient être isolés. Le rapport publié par Au-delà de confiance détaille comment le mode sandbox de l'interprète de code d'agent de base Amazon Bedrock vous permet de résoudre le DNS à l'extérieur, qui peut ouvrir les canaux de contrôle et de contrôle et les voies d'exfiltration même lorsque la configuration indique « sans accès réseau ».
Le vecteur est étonnamment simple dans son idée : si un environnement de bac à sable peut émettre des consultations DNS à des domaines contrôlés par un attaquant, ces demandes peuvent devenir des messages bidirectionnels. Dans la pratique, les chercheurs ont réussi à monter une communication interactive qui permet d'envoyer des commandes et de recevoir des réponses à l'aide d'enregistrements DNS, d'obtenir un shell inverse interactif et de filtrer les données stockées dans les services AWS - par exemple, dans les seaux S3 - à condition que le rôle IAM associé à l'interprète de code ait des permissions excessives. Au-delà de l'extraction, le mécanisme peut servir à fournir des charges que l'interprète de code lui-même télécharge et fonctionne en consultant les instructions stockées dans les dossiers d'un serveur DNS malveillant.
La constatation est soulignée comme un problème grave: bien qu'au moment de l'écriture il n'ait pas d'identificateur CVE, BeyondTrust a assigné une sévérité qui suscite l'attention. Amazon, pour sa part, après la divulgation responsable en septembre 2025, a défini ce comportement comme une fonctionnalité prévue et recommande de migrer les charges critiques en mode VPC pour obtenir une véritable isolation réseau. Votre blog et documentation explique la nature du service et les options de déploiement; par exemple, vous pouvez voir l'introduction officielle au Code Interpreter dans le blog AWS Agent de roche de l'Amazone Interprétation du code de base et le guide technique de la documentation officielle par AWS. Pour ceux qui recherchent l'isolement complet, AWS vise à fonctionner au sein d'un VPC et à utiliser un pare-feu DNS pour bloquer les résolutions indésirables; une référence utile à cette protection est l'article sur Route 53 Resolver DNS Pare-feu.
Cet incident illustre un schéma récurrent : la combinaison de l'exécution de code dynamique (spécifique aux agents IA) et de permissions mal calibrées peut multiplier les dommages. Si un service qui exécute le code a attribué un rôle trop permissif, la valeur de chaque requête DNS malveillante augmente, car l'attaquant pourrait, par exemple, demander à l'interprète de lire les ressources auxquelles ce rôle a accès et de retourner ces informations par sous-domaines. La recommandation pratique immédiate que de nombreux experts réitèrent est d'examiner et de limiter les rôles de l'IAM associés à ces services, le principe de moins de privilège et migrer des instances sensibles vers des environnements avec des règles de réseau plus strictes.
Cette vague d'avertissements n'est pas la seule. Parallèlement à la recherche sur Bedrock, d'autres plateformes et bibliothèques de l'écosystème de l'IA ont montré de graves vulnérabilités. La plate-forme d'observation LangSmith a souffert d'un échec qui a permis à un attaquant de voler des jetons et d'être fait avec des comptes utilisateurs en manipulant un paramètre URL; ce problème a reçu la désignation CVE-2026-25750 et a été corrigé dans la version 0.12.71, telle que décrite par les découvreurs dans leur analyse Sécurité Miggo. Le risque était qu'avec un jeton engagé un attaquant puisse examiner l'historique de la piste de l'IV et récupérer des appels à des outils contenant des requêtes internes, des enregistrements CRM ou des fragments de code privé.
Un autre ensemble de vulnérabilités préoccupantes affecte SGLang, un cadre open-source pour servir les modèles de langage et de multimodal. Les chercheurs d'Orca ont décrit des défaillances de desérialisation dangereuses avec du cornichon qui, dans des scénarios précis, permettent l'exécution de code à distance sans authentification. Les problèmes obtiennent l'identité publique dans les registres CVE comme CVE-2026-3059, CVE-2026-3060 et CVE-2026-3989, et Orca a publié une analyse technique qui mérite d'être lu calmement Voilà.. CERT / CC a également émis un avertissement coordonné indiquant que lorsque certains modules sont actifs et exposés au réseau, un attaquant peut envoyer des fichiers de cornichons malveillants au courtier ZeroMQ et provoquer la désérialisation de données peu fiables selon l'avis.
Les leçons sont claires et applicables aux organisations de toute taille : les environnements d'exécution des agents et des modèles font déjà partie de l'épine dorsale de nombreuses opérations et devraient donc être traités comme des infrastructures essentielles. La migration de charges sensibles vers des réseaux privés virtuels et le renforcement des contrôles DNS réduisent la surface de risque, mais ne remplace pas le besoin de vérifier les autorisations, de revoir les paramètres par défaut et de mettre à jour rapidement lorsqu'un patch est publié. De plus, exposer des interfaces ZeroMQ ou similaires à des réseaux peu fiables est une invitation au risque; ces portes doivent être fermées par segmentation et des règles qui limitent l'accès à des hôtes et des ports spécifiques.
D'un point de vue opérationnel, il convient de mettre en œuvre une surveillance spécifique: alertes pour les processus qui ouvrent des connexions sortantes inhabituelles, pour créer des fichiers sur des routes étrangères ou pour le trafic DNS vers des domaines inhabituels. Dans le cas de LangSmith, la mesure immédiate consistait à mettre à jour une version corrigée; dans le cas de SGLang, en plus des correctifs, l'atténuation consiste à limiter la portée des courtiers et à appliquer les contrôles du réseau. Amazon, pour sa part, a expressément recommandé que les clients avec des charges critiques quittent le mode bac à sable et passer à VPC pour réaliser l'isolement et utiliser les solutions de filtrage DNS mentionnées par AWS.
Enfin, cet épisode rappelle que l'innovation dans l'IA apporte de nouveaux défis de sécurité: l'exécution dynamique, l'intégration avec les services cloud et la flexibilité pour les développeurs coexistent avec des vecteurs que les attaquants peuvent chaîner. La réponse n'est pas de renoncer à ces outils, mais de les gérer avec des politiques de sécurité robustes, des examens réguliers des permis et un cycle de stationnement et d'audit aussi agile que le développement qui alimente ces plateformes. Être informé par l'analyse des signatures de l'industrie et des avis officiels - comme ceux liés à cet article - est un élément essentiel de cette défense.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...