Radware découvre une faille d'intelligence artificielle dans ZombieAgent permettant le vol invisible de données auprès des utilisateurs d'OpenAI

Radware® (NASDAQ : RDWR), leader mondial des solutions de sécurité et de diffusion d'applications pour les environnements multicloud, a annoncé aujourd'hui la découverte de ZombieAgent, une nouvelle vulnérabilité d'injection indirecte (IPI) sans clic ciblant l'agent Deep Research d'OpenAI. Cette vulnérabilité pourrait exposer les entreprises à un vol de données invisible, à un détournement persistant d'agents et à une exécution côté service susceptible de contourner les contrôles de sécurité de l'entreprise.

Manipulation persistante de la mémoire et propagation autonome

ZombieAgent ressemble initialement à la vulnérabilité ShadowLeak précédemment révélée par Radware, qui montre comment des techniques d'injection rapide indirecte pourraient être utilisées pour influencer le comportement des agents d'IA. Cependant, les chercheurs de Radware ont également identifié un stade d'attaque plus avancé au cours duquel ZombieAgent implante des règles malveillantes directement dans la mémoire à long terme ou les notes de travail d'un agent. Cela permet à l'attaquant d'établir sa persistance sans réengager la cible. Il exécute des actions cachées chaque fois que l'agent est utilisé, collectant silencieusement des informations sensibles au fil du temps. Il est également capable de propager l'attaque à d'autres contacts ou destinataires d'e-mails.

Un seul e-mail malveillant pourrait donc devenir le point d'entrée d'une campagne croissante, automatisée et semblable à un ver, au sein de l'organisation et au-delà.

« ZombieAgent illustre une faiblesse structurelle critique des plateformes d'IA agentiques actuelles », a déclaré Pascal Geenens, vice-président en charge du renseignement sur les menaces chez Radware. « Les entreprises comptent sur ces agents pour prendre des décisions et accéder à des systèmes sensibles, mais elles manquent de visibilité sur la façon dont les agents interprètent les contenus non fiables ou sur les actions qu'ils exécutent dans le cloud. Cela crée un angle mort dangereux que les attaquants exploitent déjà. »

Exploitation sans clic grâce à des instructions masquées

En s'appuyant sur les techniques apprises grâce à ShadowLeak, l'équipe de recherche sur les menaces de Radware a découvert une nouvelle faille dans les garde-corps déployés pour protéger contre les vulnérabilités d'injection rapide. Les attaquants peuvent intégrer des directives cachées dans des e-mails, des documents ou des pages Web courants. Lorsqu'un agent IA traite ce contenu, par exemple lors d'un récapitulatif de routine de la boîte de réception, l'agent interprète les instructions masquées comme des commandes légitimes. Une fois activé, l'agent compromis pouvait collecter les données des boîtes aux lettres, accéder à des fichiers sensibles et communiquer avec des serveurs externes. Aucune interaction de l'utilisateur n'est requise et aucun « clic » n'est nécessaire pour déclencher l'attaque.

L'une des caractéristiques déterminantes de ZombieAgent est que toutes les actions malveillantes se produisent au sein de l'infrastructure cloud d'OpenAI, et non sur l'appareil de l'utilisateur, ni dans l'environnement informatique de l'entreprise. Par conséquent, aucun journal des terminaux n'enregistre l'activité. Aucun trafic réseau ne passe par les piles de sécurité de l'entreprise. Aucun outil de sécurité traditionnel, tel que les passerelles Web sécurisées, la détection et la réponse des terminaux ou les pare-feux, ne détecte l'exfiltration de données sensibles. Par conséquent, aucune alerte traditionnelle n'indique la compromission à l'utilisateur. Cette invisibilité côté cloud pourrait rendre ZombieAgent extrêmement difficile à détecter ou à arrêter à l'aide des contrôles d'entreprise existants.

ZombieAgent s'appuie sur les résultats antérieurs de Radware relatifs à « ShadowLeak » pour démontrer à quel point les attaquants peuvent exploiter facilement la « surface de menace agentique » en pleine expansion, où les agents d'IA lisent les e-mails, interagissent avec les systèmes de l'entreprise, initient des flux de travail et prennent des décisions de manière autonome. Radware a révélé la vulnérabilité d'OpenAI dans le cadre de protocoles de divulgation responsables.

Pour plus d'informations, consultez le dernier avis sur les menaces et article de blog de Radware, « ZombieAgent : The Agentic Revolution Comes with Malicious Gifts ».