thehackernews.com web signal

Une fausse compétence IA trompe les scanners de sécurité et compromet 26 000 agents via un script externe malveillant

agents cybersecurity ai-security

Summary

La société de sécurité AIR a démontré une nouvelle classe d'attaque sur les marketplaces de compétences IA : une fausse compétence baptisée « brand-landingpage » a passé les scanners de Cisco, NVIDIA et skills.sh en chargeant son code malveillant depuis un domaine externe (stitch-design.ai) activé après installation, sans que les scanners ne le re-vérifient. Environ 26 000 agents, dont des comptes d'entreprise, ont été atteints — le payload de démonstration récoltant des adresses e-mail, mais les chercheurs préviennent qu'un attaquant réel pourrait exfiltrer des fichiers ou accéder aux systèmes internes. Trail of Bits avait documenté des techniques similaires peu avant, confirmant que cette approche est déjà utilisée par de vrais acteurs malveillants.