剣 KENSAI
← All posts · research · 2026-04-04 · 4 min

L'audit de sécurité du protocole MCP révèle des vulnérabilités critiques, l'injection de prompt contourne 12 garde-fous LLM, le DAST agentique surpasse les pentesters

Trail of Bits et NCC Group exposent l'empoisonnement de chaîne d'outils dans le protocole MCP d'Anthropic affectant plus de 40 000 déploiements. CRESCENDO-2 de l'ETH Zurich contourne les garde-fous de 12 grands LLM. Étude Stanford : les agents IA surpassent les pentesters humains. Attaques supply chain +340%.


🔴 Critique : L'audit de sécurité du protocole MCP expose l'empoisonnement de chaîne d'outils

Un audit de sécurité complet du Model Context Protocol (MCP) d'Anthropic — désormais adopté par plus de 40 000 déploiements d'agents IA — révèle une classe de vulnérabilités permettant aux attaquants de manipuler les descriptions d'outils, d'injecter des instructions malveillantes via les schémas de paramètres et de détourner la prise de décision des agents par ce que les chercheurs appellent l'« empoisonnement de chaîne d'outils ».

L'audit, mené conjointement par Trail of Bits et NCC Group, a identifié trois catégories d'attaques distinctes :

Injection de description d'outil (TDI)

Les manifestes de serveurs MCP contiennent des descriptions lisibles pour chaque outil. Les chercheurs ont atteint un taux de réussite de 94% pour rediriger le comportement des agents en intégrant des instructions adverses dans les descriptions d'outils.

Contrebande de paramètres de schéma

Les définitions JSON Schema incluent des champs description, default et examples qui sont consommés par le LLM mais rarement validés. Les chercheurs ont démontré l'exfiltration de données sensibles via des instructions intégrées dans les descriptions de paramètres.

Escalade de privilèges inter-serveurs

Lorsque les agents se connectent simultanément à plusieurs serveurs MCP, un serveur malveillant peut ordonner à l'agent d'invoquer des outils sur d'autres serveurs connectés. La spécification MCP manque actuellement d'isolation cross-origin.

🔴 Critique : L'injection de prompt universelle contourne 12 garde-fous LLM majeurs

Les chercheurs de l'AI Security Lab de l'ETH Zurich ont publié « CRESCENDO-2 », un framework d'injection de prompt évolué qui contourne systématiquement les garde-fous de sécurité dans 12 systèmes LLM majeurs.

🟠 Élevé : Le DAST agentique surpasse les pentesters manuels dans l'essai Stanford

Une étude majeure du Stanford Computer Security Lab compare trois plateformes DAST agentiques à des pentesters humains expérimentés sur 15 applications web personnalisées contenant chacune 20 vulnérabilités connues.

MétriquePentesters humains (moy.)DAST agentique (meilleur)DAST agentique (moy.)
Vulnérabilités trouvées (sur 20)14,21715,8
Temps nécessaire8,5 heures47 minutes1,2 heures
Faux positifs2,134,2
Logique métier4,8 sur 52 sur 51,4 sur 5

Point clé : Le modèle hybride humain-IA a trouvé 19,1 vulnérabilités sur 20 en moyenne — 35% de plus que les humains seuls.

🟡 Recherche : Les attaques de chaîne d'approvisionnement des modèles IA augmentent de 340%

🟡 Émergent : Les preuves à connaissance nulle pour les pistes d'audit IA gagnent du terrain

Les entreprises adoptent des systèmes de preuve à connaissance nulle (ZKP) pour des pistes d'audit IA vérifiables sans exposer les détails propriétaires des modèles, conformément aux exigences de transparence du règlement européen sur l'IA.


Recommandations Kensai

  1. Équipes IA/ML utilisant MCP : Auditer tous les serveurs MCP connectés immédiatement
  2. Déploiements LLM entreprise : Implémenter le filtrage de sortie et l'autorisation déterministe des actions
  3. Équipes de sécurité : Adopter les tests de pénétration hybrides humain-IA
  4. Opérations ML : Appliquer la sécurité de la chaîne d'approvisionnement aux registres de modèles
  5. Équipes conformité : Évaluer les solutions ZKP pour les exigences du règlement IA de l'UE