Microsoft signale un nouveau mode d’attaque ciblant les agents d’IA via l’exploitation abusive des outils du Model Context Protocol (MCP).
Microsoft Incident Response analyse comment des attaquants peuvent compromettre la chaîne d’approvisionnement de l’IA en empoisonnant les outils MCP. En effet, les attaquants peuvent manipuler la description des outils MCP pour inciter les agents d’IA à effectuer des actions indésirables, telles que la fuite de données sensibles.
Selon IDC, le nombre d’agents d’IA actifs au sein des entreprises passera de près de 30 millions en 2025 à plus de deux milliards en 2030. Cette évolution rend la sécurisation de la chaîne d’approvisionnement et le contrôle continu des intégrations essentiels, d’autant plus que l’OWASP Top 10 pour les applications agentes constitue désormais un nouveau cadre de référence.
Nouveau mode d’attaque pour les agents d’IA
Microsoft décrit une attaque dans laquelle un agent Copilot Studio au sein d’un flux de travail financier est compromis par l’empoisonnement d’un outil MCP. L’attaque se déroule en quatre phases : premièrement, la description de l’outil est modifiée discrètement ; ensuite, un changement de métadonnées active les instructions infectées sans réévaluation ; puis, un utilisateur sollicite inconsciemment l’outil corrompu, après quoi des données sensibles sont transmises à l’insu de tous vers un serveur externe.
La particularité de cette attaque réside dans le fait que chaque étape semble légitime en soi. La vulnérabilité provient de la confiance établie entre les outils approuvés et les agents, et non d’une faille dans Copilot lui-même. Par la manipulation des métadonnées des outils, un attaquant peut orienter le comportement d’un agent de manière imperceptible, ce qui engendre des risques de fuites de données et d’actions non autorisées.
Mesures de sécurité
Microsoft conseille de traiter l’ensemble de la chaîne d’approvisionnement MCP comme une dépendance critique. Les organisations doivent tenir à jour une liste approuvée de serveurs MCP, contrôler rigoureusement les métadonnées des outils et instaurer une validation humaine pour les actions à risque. Des outils tels que Prompt Shields, Microsoft Purview DLP et Defender for Cloud AI Protection peuvent être déployés pour l’inspection et la détection de comportements anormaux.
Le principe du « moindre privilège d’agent » (least agency) doit être appliqué : même un agent disposant de droits minimaux peut s’avérer dangereux s’il bénéficie d’une autonomie excessive. La surveillance avec Microsoft Sentinel et les révisions périodiques du comportement des agents sont essentielles pour détecter rapidement toute anomalie.
