Une fausse compétence IA trompe les scanners de sécurité et compromet 26 000 agents via un script externe malveillant
Résumé
La société de sécurité AIR a démontré une nouvelle classe d'attaque sur les marketplaces de compétences IA : une fausse compétence baptisée « brand-landingpage » a passé les scanners de Cisco, NVIDIA et skills.sh en chargeant son code malveillant depuis un domaine externe (stitch-design.ai) activé après installation, sans que les scanners ne le re-vérifient. Environ 26 000 agents, dont des comptes d'entreprise, ont été atteints — le payload de démonstration récoltant des adresses e-mail, mais les chercheurs préviennent qu'un attaquant réel pourrait exfiltrer des fichiers ou accéder aux systèmes internes. Trail of Bits avait documenté des techniques similaires peu avant, confirmant que cette approche est déjà utilisée par de vrais acteurs malveillants.
Article original publié par thehackernews.com
Lire l'article original →Titre original : Une fausse compétence IA trompe les scanners de sécurité et compromet 26 000 agents via un script externe malveillant