À mesure que les organisations adoptent et déploient leurs propres modèles linguistiques à grande échelle, elles non seulement apportent un modèle à la production : elles créent tout un réseau de services internes et d'API qui le nourrissent, le gèrent et le connectent au reste de l'entreprise. Le risque actuel dans de nombreux déploiements de LLM ne provient pas à la fois du modèle lui-même et de l'infrastructure environnante., et chaque nouveau point d'arrêt - cette porte par laquelle les demandes viennent et vont - augmente la surface d'attaque de manière souvent négligée dans la hâte d'expérimenter et d'itérer.
Dans ce contexte, il convient de clarifier ce que nous comprenons par point de référence : c'est tout point d'interaction où un utilisateur, une application ou un service peut communiquer avec le modèle. Il peut s'agir d'APIs d'inférence qui permettent de traiter les réponses, de contrôler les panneaux pour gérer les versions, les interfaces de gestion pour mettre à jour les modèles de plugins ou les points d'exécution et les outils qui permettent à LLM de consulter des bases de données ou d'invoquer d'autres services. Dans la pratique, ces paramètres déterminent comment le LLM est intégré à son environnement et, par conséquent, quelle sera la surface disponible pour un attaquant.
Un modèle commun est que ces paramètres sont conçus en pensant à la vitesse et à la facilité d'utilisation, et non au durcissement. Les prototypes, les tests et les API internes qui sont nés pour accélérer les expériences sont souvent opérationnels sans mesures de surveillance continue. Lorsqu'un critère d'évaluation accumule des titres de créance avec des permis étendus ou des jetons à long terme non rotatifs, Un accès non remarqué peut donner lieu à des privilèges beaucoup plus importants que ceux envisagés par ses créateurs, parce que l'extrémité elle-même agit comme une limite de sécurité: son identité, la manipulation des secrets et la portée de ses permis définissent combien un attaquant peut avancer.
L'exposition n'est presque jamais produite par un seul échec spectaculaire; elle est lentement forgée par des hypothèses et des raccourcis répétés: API internes ouvertes à l'extérieur pour faciliter l'intégration rapide, jetons intégrés dans des configurations qui ne renouvellent jamais, la fausse confiance que "s'il est interne, il n'y a pas besoin de protection", des paramètres de preuve qui ne sont jamais supprimés et des règles de pare-feu ou des passerelles mal configurées dans le nuage qui rendent un service qui devrait être accessible privé. Ces petites imprudences transforment une API utile en vecteur exploitable.
Le danger est particulièrement aigu dans les environnements LLM car ces modèles fonctionnent souvent comme orchestres : ils connectent les sources de données, les outils internes et les services cloud pour automatiser les flux de travail. Par conséquent, le fait de compromettre un seul paramètre n'est pas limité à la sortie de «vol» du modèle; il peut permettre le mouvement latéral vers des systèmes qui dépendent déjà de cette LLM. La véritable menace n'est pas tant que le modèle est trop « puissant », mais que le point final qui l'expose jouit d'une confiance implicite et de permissions étendues., devenir un multiplicateur d'actions malveillantes automatisées.
Parmi les techniques qui peuvent être utilisées si un paramètre est entre de mauvaises mains, on peut citer les blessures à base rapide qui incitent le modèle à extraire et à résumer des informations sensibles auxquelles il a accès, l'abus des autorisations d'outils liées à modifier des ressources ou à exécuter des commandes, et les injections indirectes où les données manipulées dans une source d'entrée conduisent le modèle à effectuer des actions indésirables. Ces tactiques profitent à la fois de la propre automatisation du LLM et du fait que de nombreux flux fonctionnent sans supervision humaine permanente.
Un facteur qui amplifie ces problèmes est ce qu'on appelle les identités non humaines : comptes de service, clés API et autres identifiants qui utilisent des systèmes plutôt que des personnes. Pour plus de commodité, ces identités sont souvent assorties de permis trop larges et ne sont pas revues au fil du temps. Le résultat est un cocktail dangereux composé de secrets éparpillés dans des pipelines et des dépôts, des références statiques qui ne sont pas tournées, permet d'accumuler au-delà de ce qui est nécessaire et une prolifération d'identités qui réduit la visibilité sur qui peut faire quoi.
Pour réduire ce risque, il faut modifier l'approche : supposer qu'à un moment donné un point final sera atteint par un attaquant et concevoir pour minimiser l'ampleur des dommages. L'application de principes de confiance zéro à chaque interface est un bon guide : exiger une vérification explicite, examiner en permanence les autorisations et surveiller en permanence l'activité. Dans la pratique, cela signifie imposer le principe de moins de privilèges à la fois aux humains et aux machines, limiter la durée de vie de l'accès au moyen de mécanismes d'accès juste à temps, vérifier et enregistrer des sessions privilégiées pour détecter des comportements anormaux, et automatiser la rotation des secrets de sorte que les identifiants exposés ne seront plus utiles après quelques heures ou jours.
Les fabricants d'infrastructures et de cloud recommandent déjà des modèles qui soutiennent ces idées : utiliser des identités gérées en nuage pour éviter les clés statiques, suivre de bonnes pratiques IAM qui réduisent les autorisations par défaut, et utiliser des solutions de gestion secrète qui permettent l'émission et la vérification de titres de créance à court terme. Outils tels que les gestionnaires secrets (p. ex. Vault de HashiCorp) et les mécanismes d'identité gérés des fournisseurs de cloud ( Azure Identité gérée) ou les recommandations AMI de AWS ( Meilleures pratiques AWS IAM) aider à réduire l'exposition par des références statiques et à atténuer la «spirale» des permis.
Il ne s'agit pas seulement d'adopter des technologies, mais de repenser les procédures : automatiser l'expiration des privilèges, mettre en œuvre la télémétrie pour que chaque appel à un point final soit sujet à détection et réponse, et vérifier les points finals créés pour des expériences afin qu'ils ne deviennent pas des portes oubliées. Les lignes directrices et les cadres de référence de l'architecture zéro confiance fournissent un cadre conceptuel solide pour cette conversion; par exemple, le document NIST sur l'architecture zéro confiance est une lecture recommandée pour les équipements de sécurité qui veulent adapter leurs contrôles au contexte des systèmes distribués et automatisés ( NIST SP 800-207).
Les recommandations spécifiques concernant le trafic des API et des applications devraient également être prises en compte: Sécurité de l'API OWASP des menaces et des contrôles sommaires pour les interfaces qui, dans le monde LLM, sont précisément les points critiques d'exposition. En outre, la protection contre les injections rapides et l'abus d'outils connectés nécessite une réflexion sur la sécurité non seulement au niveau du réseau et des références, mais aussi au niveau de la conception de l'interaction entre le modèle et le contexte.
En fin de compte, la gestion des privilèges par endpoint devrait devenir une priorité organisationnelle : réorienter les efforts d'une position réactive qui cherche à empêcher l'accès à une stratégie qui limite ce qu'un attaquant peut réaliser s'il atteint un endpoint. Cette philosophie est celle qui sous-tend les solutions qui aident à supprimer les autorisations inutiles et à protéger les identités non humaines de façon continue; fournisseurs spécialisés, tels que ceux qui offrent gestion du privilège en fin de ligne ils proposent des éléments opérationnels qui facilitent l'application de ces principes dans l'infrastructure IA.
Protéger les LLM n'est pas seulement protéger les modèles; c'est protéger les petites portes qui les relient avec tout le reste. En gérant rigoureusement qui et quand peut faire quelque chose à chaque point d'arrêt, en remplaçant les titres de compétence permanents par un accès temporaire et vérifié, et en appliquant un modèle de confiance minimum, les organisations réduisent efficacement la possibilité qu'une seule porte ouverte devienne un vide massif.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...