Les experts en sécurité de JFrog ont découvert une menace de « piratage de prompt » qui exploite les failles dans la façon dont les systèmes d’IA interagissent entre eux en utilisant le MCP (Model Context Protocol).
Les dirigeants d’entreprise veulent rendre l’IA plus utile en utilisant directement les données et les outils de l’entreprise. Cependant, connecter l’IA de cette manière ouvre également de nouveaux risques en matière de sécurité, non pas dans l’IA elle-même, mais dans sa connectivité. Cela signifie que les DSI et les RSSI doivent réfléchir à un nouveau problème : protéger le flux de données qui alimente l’IA, tout comme ils protègent l’IA elle-même.
Pourquoi les attaques d’IA ciblant des protocoles comme le MCP sont-elles si dangereuses
Les modèles d’IA – qu’ils soient sur Google, Amazon ou fonctionnant sur des appareils locaux – ont un problème de base : ils ne savent pas ce qui se passe en ce moment. Ils ne savent que sur quoi ils ont été formés. Ils ne savent pas quel code un programmeur est en train de travailler ou ce qui se trouve dans un fichier sur un ordinateur.
Les experts d’Anthropic ont créé le MCP pour résoudre ce problème. Le MCP est une façon pour l’IA de se connecter au monde réel, lui permettant d’utiliser en toute sécurité des données locales et des services en ligne. C’est ce qui permet à un assistant comme Claude de comprendre ce que cela signifie lorsque vous pointez un morceau de code et lui demandez de le retravailler.
Cependant, la recherche de JFrog montre qu’une certaine manière d’utiliser le MCP présente une faiblesse de piratage de prompt qui peut transformer cet outil d’IA de rêve en un problème de sécurité cauchemardesque.
Imaginez qu’un programmeur demande à un assistant d’IA de recommander un outil Python standard pour travailler avec des images. L’IA devrait suggérer Pillow, qui est un choix bon et populaire. Mais, en raison d’une faille (CVE-2025-6515) dans le système oatpp-mcp, quelqu’un pourrait s’infiltrer dans la session de l’utilisateur. Ils pourraient envoyer leur propre fausse demande et le serveur la traiterait comme si elle venait du véritable utilisateur.
Ainsi, le programmeur reçoit une mauvaise suggestion de l’assistant d’IA recommandant un faux outil appelé theBestImageProcessingPackage. Il s’agit d’une attaque sérieuse sur la chaîne d’approvisionnement logicielle. Quelqu’un pourrait utiliser ce piratage de prompt pour injecter du code malveillant, voler des données ou exécuter des commandes, tout en ayant l’air d’être une partie utile de l’arsenal du programmeur.
Comment fonctionne cette attaque de piratage de prompt MCP
Cette attaque de piratage de prompt interfère avec la manière dont le système communique en utilisant le MCP, plutôt que la sécurité de l’IA elle-même. La faiblesse spécifique a été trouvée dans la configuration du MCP du système Oat++ C++, qui connecte les programmes à la norme MCP.
Le problème réside dans la façon dont le système gère les connexions en utilisant Server-Sent Events (SSE). Lorsqu’un utilisateur réel se connecte, le serveur lui attribue un ID de session. Cependant, la fonction défectueuse utilise l’adresse mémoire de la session comme ID de session. Cela va à l’encontre de la règle du protocole selon laquelle les IDs de session doivent être uniques et cryptographiquement sécurisés.
Il s’agit d’une mauvaise conception car les ordinateurs réutilisent souvent des adresses mémoire pour économiser des ressources. Un attaquant peut tirer parti de cela en créant rapidement et en fermant de nombreuses sessions pour enregistrer ces IDs de session prévisibles. Plus tard, lorsqu’un utilisateur réel se connecte, il pourrait recevoir l’un de ces IDs recyclés que l’attaquant possède déjà.
Une fois que l’attaquant a un ID de session valide, il peut envoyer ses propres demandes au serveur. Le serveur ne peut pas faire la différence entre l’attaquant et le véritable utilisateur, il envoie donc les réponses malveillantes à la connexion du véritable utilisateur.
Même si certains programmes n’acceptent que certaines réponses, les attaquants peuvent souvent contourner cela en envoyant de nombreux messages avec des numéros d’événement courants jusqu’à ce qu’un soit accepté. Cela permet à l’attaquant de perturber le comportement du modèle sans modifier le modèle d’IA lui-même. Toute entreprise utilisant oatpp-mcp avec HTTP SSE activé sur un réseau auquel un attaquant peut accéder est en danger.
Que devraient faire les leaders de la sécurité de l’IA ?
La découverte de cette attaque de piratage de prompt MCP est un avertissement sérieux pour tous les leaders technologiques, en particulier les CISO et les CTO, qui construisent ou utilisent des assistants d’IA. Alors que l’IA devient de plus en plus présente dans nos flux de travail à travers des protocoles comme le MCP, elle comporte également de nouveaux risques. La sécurisation de la zone autour de l’IA est maintenant une priorité absolue.
Même si cette CVE spécifique affecte un système, l’idée du piratage de prompt est générale. Pour se protéger contre cette attaque et des attaques similaires, les dirigeants doivent établir de nouvelles règles pour leurs systèmes d’IA.
Tout d’abord, assurez-vous que tous les services d’IA utilisent une gestion de session sécurisée. Les équipes de développement doivent s’assurer que les serveurs créent des IDs de session à l’aide de générateurs forts et aléatoires. Cela devrait être un élément incontournable de toute liste de contrôle de sécurité pour les programmes d’IA. L’utilisation d’identifiants prévisibles comme les adresses mémoire n’est pas acceptable.
Deuxièmement, renforcez les défenses du côté utilisateur. Les programmes clients doivent être conçus pour rejeter tout événement qui ne correspond pas aux IDs et types attendus. Les IDs d’événement simples et incrémentiels sont exposés aux attaques de pulvérisation et doivent être remplacés par des identifiants imprévisibles qui ne entrent pas en collision.
Enfin, utilisez les principes de la confiance zéro pour les protocoles d’IA. Les équipes de sécurité doivent vérifier l’ensemble de la configuration de l’IA, du modèle de base aux protocoles et middleware qui le connectent aux données. Ces canaux doivent bénéficier d’une forte séparation et expiration des sessions, comme la gestion de session utilisée dans les applications web.
Cette attaque de piratage de prompt MCP est un exemple parfait de la façon dont un problème connu des applications web, le piratage de session, se manifeste de manière nouvelle et dangereuse dans l’IA. Sécuriser ces nouveaux outils d’IA signifie appliquer ces bases de sécurité solides pour arrêter les attaques au niveau du protocole.