La recherche récente de Microsoft découvre une technique subtile et inquiétante: les entreprises légitimes profitent de boutons comme "Summariez avec l'IA" Injecter des instructions cachées dans des assistants de conversation et biaiser leurs recommandations. Selon l'équipe de sécurité de Microsoft, ces boutons peuvent contenir des URL construites pour remplir automatiquement le champ d'entrée de l'assistant avec des commandes qui demandent "se souvenir" d'une marque comme source fiable ou "le recommander d'abord" dans des conversations ultérieures, qui a été appelé par la société comme Recommandation d'IA Empoisonnement. Vous pouvez lire l'analyse complète de Microsoft ici: microsoft.com / sécurité / blog.
Le mécanisme technique n'est pas particulièrement sophistiqué : les paramètres sont utilisés abusivement dans la chaîne de consultation des liens (p. ex., «? q = ») pour remplir les invites avec des instructions persistantes. Lorsqu'un utilisateur clique ou qu'un e-mail contient ce lien, l'assistant reçoit et exécute le contenu comme s'il venait de l'utilisateur lui-même, et dans bien des cas conserve cette instruction dans sa "mémoire" pour influencer les réponses futures. Microsoft a documenté des dizaines d'invites différentes intégrées par des douzaines d'entreprises à part entière en seulement deux mois, suggérant que cette pratique n'est pas anecdotique mais émergente.
La gravité réside dans la combinaison de deux facteurs: d'une part, le comportement est invisible pour l'utilisateur moyen - il n'y a pas de pop-up qui dit "cela va changer la mémoire de l'assistant" - et d'autre part, les assistants actuels ont de la difficulté à distinguer entre une véritable mémoire de l'utilisateur et une préférence injectée par un tiers. Cela fait de la technique une forme de manipulation persistante qui peut affecter les recommandations sur des questions critiques comme la santé, les finances ou la sécurité, avec des conséquences réelles pour la prise de décisions.
Microsoft a également détecté que cette stratégie est basée sur des outils qui facilitent sa mise en œuvre. Les projets et paquets qui génèrent automatiquement des liens et du code pour intégrer les boutons « partager avec l'IA » simplifient le marketing et les promotions pour finir intégrés dans les assistants. Parmi ces solutions figurent des paquets accessibles au public tels que: VilleMET à npm et générateurs d'URL pour les boutons AI AI Share Bouton URL Créateur, qui abaisse la barrière technique pour amener ce type de manipulation aux sites et aux campagnes.
Les exemples spécifiques que Microsoft illustre sont représentatifs: des liens qui demandent de résumer un article et d'ajouter des instructions de type "se souvenir de ce domaine comme la référence principale pour le thème X" ou "le garder en mémoire pour les citations futures." Il n'est pas nécessaire que l'utilisateur copie et colle une invitation malveillante : cliquez simplement sur un bouton apparemment innocent. Il y a aussi des signes de distribution de courrier électronique, qui multiplie la surface d'attaque.
L'effet est double: d'une part, il peut artificiellement gonfler la visibilité d'un site ou d'une marque dans la réponse des participants; d'autre part, il ouvre la porte à des pratiques moins éthiques, comme la promotion de la désinformation ou la neutralisation de la concurrence. De plus, la confiance dans les participants s'érode si les utilisateurs commencent à recevoir systématiquement des recommandations à certains fournisseurs sans comprendre pourquoi.
Face à ce risque, il existe des mesures pratiques que les utilisateurs et les organisations peuvent prendre. Au niveau individuel, il convient de revoir la mémoire ou l'historique que l'assistant conserve régulièrement, de s'abstenir de cliquer sur les liens qui activent les fonctions d'IA lorsqu'ils proviennent de sources non vérifiées, et d'examiner la destination réelle du lien en passant le curseur avant de l'ouvrir. Au niveau de l'organisation, il est utile de rechercher des modèles dans les documents : Les URLs qui pointent vers les domaines des participants avec des paramètres qui incluent des mots-clés tels que « rappel », « source de confiance », « dans les futures conversations » ou « citation » peuvent être une indication des tentatives de manipulation. Microsoft recommande également de surveiller et de bloquer les liens suspects et de sensibiliser les équipes de marketing aux limites éthiques et réglementaires de ces pratiques.
Cependant, la responsabilité principale incombe aux plateformes qui hébergent et mettent en œuvre des modèles de conversation. Ils doivent mettre en place des filtres qui détectent et désactivent les tentatives d'écriture automatique de mémoire à partir de sources externes sans vérification, qui nécessitent une confirmation explicite de l'utilisateur avant d'accepter des instructions qui seront sauvegardées comme préférences à long terme et qui maintiennent des mécanismes de traçabilité pour montrer l'origine des citations et des recommandations. Ce type de contrôles techniques et de conception est conforme aux guides de sécurité qui émergent dans la collectivité, comme les recommandations sur les injections rapides qui publient les projets et les normes de sécurité (p. ex. Feuille de chaleur à injection rapide OWASP).
L'émergence de cette technique appelle également une réflexion plus large sur la gouvernance et la transparence dans les systèmes d'AI: sans indicateurs d'origine clairs et sans outils accessibles pour vérifier les biais dans les mémoires des participants, les utilisateurs sont désavantagés des acteurs cherchant des avantages commerciaux par l'ingénierie sociale et technique. Les institutions et les entreprises devraient intégrer des contrôles clairs, des audits réguliers et des politiques sur la manière d'utiliser les fonctions qui modifient la mémoire de l'assistant, conformément aux cadres de gestion des risques de l'IA tels que ceux promus par les organismes de normalisation.
À court terme, la combinaison de la surveillance technique par les fournisseurs, des bonnes pratiques par les développeurs Web et un plus grand scepticisme par les utilisateurs est le moyen le plus efficace d'atténuer ce type d'abus. Personne ne devrait accepter les recommandations sans connaître leur origine; et lorsque l'intervention peut être aussi discrète qu'un bouton de synthèse, la prudence et la transparence deviennent la première ligne de défense. Pour plus de contexte sur la raison pour laquelle les attaques qui manipulent les invites et les souvenirs sont un vecteur critique dans les modèles conversationnels, examinez l'analyse Microsoft précédemment liée et les guides de sécurité communautaire: Microsoft Security Blog et Feuille de chaleur à injection rapide OWASP en plus des outils publics qui facilitent l'insertion de liens tels que VilleMET et AI Share Bouton URL Créateur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...