L'audit de sécurité du protocole MCP révèle des vulnérabilités critiques, l'injection de prompt contourne 12 garde-fous LLM, le DAST agentique surpasse les pentesters
Trail of Bits et NCC Group exposent l'empoisonnement de chaîne d'outils dans le protocole MCP d'Anthropic affectant plus de 40 000 déploiements. CRESCENDO-2 de l'ETH Zurich contourne les garde-fous de 12 grands LLM. Étude Stanford : les agents IA surpassent les pentesters humains. Attaques supply chain +340%.
🔴 Critique : L'audit de sécurité du protocole MCP expose l'empoisonnement de chaîne d'outils
Un audit de sécurité complet du Model Context Protocol (MCP) d'Anthropic — désormais adopté par plus de 40 000 déploiements d'agents IA — révèle une classe de vulnérabilités permettant aux attaquants de manipuler les descriptions d'outils, d'injecter des instructions malveillantes via les schémas de paramètres et de détourner la prise de décision des agents par ce que les chercheurs appellent l'« empoisonnement de chaîne d'outils ».
L'audit, mené conjointement par Trail of Bits et NCC Group, a identifié trois catégories d'attaques distinctes :
Injection de description d'outil (TDI)
Les manifestes de serveurs MCP contiennent des descriptions lisibles pour chaque outil. Les chercheurs ont atteint un taux de réussite de 94% pour rediriger le comportement des agents en intégrant des instructions adverses dans les descriptions d'outils.
Contrebande de paramètres de schéma
Les définitions JSON Schema incluent des champs description, default et examples qui sont consommés par le LLM mais rarement validés. Les chercheurs ont démontré l'exfiltration de données sensibles via des instructions intégrées dans les descriptions de paramètres.
Escalade de privilèges inter-serveurs
Lorsque les agents se connectent simultanément à plusieurs serveurs MCP, un serveur malveillant peut ordonner à l'agent d'invoquer des outils sur d'autres serveurs connectés. La spécification MCP manque actuellement d'isolation cross-origin.
🔴 Critique : L'injection de prompt universelle contourne 12 garde-fous LLM majeurs
Les chercheurs de l'AI Security Lab de l'ETH Zurich ont publié « CRESCENDO-2 », un framework d'injection de prompt évolué qui contourne systématiquement les garde-fous de sécurité dans 12 systèmes LLM majeurs.
- Taux de contournement : 78% en moyenne sur les 12 modèles testés
- Évasion de détection : Les systèmes existants n'ont détecté CRESCENDO-2 que dans 12% des cas
- Transférabilité : Les séquences d'attaque transférées à d'autres modèles avec 45% de réussite
- Potentiel d'automatisation : La séquence complète peut être générée par un LLM séparé
🟠 Élevé : Le DAST agentique surpasse les pentesters manuels dans l'essai Stanford
Une étude majeure du Stanford Computer Security Lab compare trois plateformes DAST agentiques à des pentesters humains expérimentés sur 15 applications web personnalisées contenant chacune 20 vulnérabilités connues.
| Métrique | Pentesters humains (moy.) | DAST agentique (meilleur) | DAST agentique (moy.) |
|---|---|---|---|
| Vulnérabilités trouvées (sur 20) | 14,2 | 17 | 15,8 |
| Temps nécessaire | 8,5 heures | 47 minutes | 1,2 heures |
| Faux positifs | 2,1 | 3 | 4,2 |
| Logique métier | 4,8 sur 5 | 2 sur 5 | 1,4 sur 5 |
Point clé : Le modèle hybride humain-IA a trouvé 19,1 vulnérabilités sur 20 en moyenne — 35% de plus que les humains seuls.
🟡 Recherche : Les attaques de chaîne d'approvisionnement des modèles IA augmentent de 340%
- Typosquatting Hugging Face : 847 dépôts malveillants identifiés
- Empoisonnement PyPI : 1 243 paquets malveillants ciblant les workflows ML
- Exploits de fichiers gradient : Fichiers SafeTensors et GGUF malformés provoquant des dépassements de tampon
🟡 Émergent : Les preuves à connaissance nulle pour les pistes d'audit IA gagnent du terrain
Les entreprises adoptent des systèmes de preuve à connaissance nulle (ZKP) pour des pistes d'audit IA vérifiables sans exposer les détails propriétaires des modèles, conformément aux exigences de transparence du règlement européen sur l'IA.
Recommandations Kensai
- Équipes IA/ML utilisant MCP : Auditer tous les serveurs MCP connectés immédiatement
- Déploiements LLM entreprise : Implémenter le filtrage de sortie et l'autorisation déterministe des actions
- Équipes de sécurité : Adopter les tests de pénétration hybrides humain-IA
- Opérations ML : Appliquer la sécurité de la chaîne d'approvisionnement aux registres de modèles
- Équipes conformité : Évaluer les solutions ZKP pour les exigences du règlement IA de l'UE