La promesse des agents intelligents se heurte à une réalité inquiétante. ZombieAgent démontre qu’une simple donnée peut suffire à déclencher une compromission invisible. Un agent d’IA qui travaille contre son utilisateur, sans jamais être sollicité.
Radware alerte la communauté cybersécurité après avoir identifié ZombieAgent, une faille d’injection indirecte ciblant l’agent Deep Research d’OpenAI. Cette attaque se distingue par son caractère entièrement automatisé. Aucun clic n’est requis. Aucun signal n’alerte l’utilisateur. L’agent agit seul, depuis l’infrastructure cloud, en toute discrétion.
ZombieAgent prolonge les enseignements de ShadowLeak
Dévoilé par Radware, ZombieAgent s’inscrit dans la continuité directe de ShadowLeak, une précédente vulnérabilité déjà préoccupante. Ici, l’agent Deep Research d’OpenAI interprète des instructions détournées. Il conserve aussi des règles malveillantes dans sa mémoire longue durée.
Dès lors, chaque sollicitation déclenche des actions cachées, sans nouvel apport externe. Cette persistance transforme l’agent en point d’observation permanent, capable de collecter des données sensibles progressivement, sur une longue période, sans éveiller le moindre soupçon opérationnel.
Quand un simple email devient un vecteur de propagation autonome
Un courriel ordinaire suffit désormais à enclencher une chaîne d’infection invisible. Radware explique que des instructions dissimulées peuvent se nicher dans des emails, documents ou pages web.
Lorsqu’un agent analyse ce contenu, par exemple lors d’un résumé automatique, ces directives sont interprétées comme légitimes. Aucune action humaine n’intervient. Ensuite, l’agent compromis accède aux messages, explore des fichiers internes et peut transmettre l’attaque à d’autres destinataires. Cette logique évoque un ver informatique moderne, entièrement orchestré par l’agent lui-même.
Une menace qui échappe totalement aux outils de cybersécurité traditionnels
ZombieAgent se distingue par un aspect déroutant. Toutes les opérations malveillantes s’exécutent exclusivement dans le cloud d’OpenAI. Aucun poste utilisateur n’est touché. Aucun réseau d’entreprise n’est traversé. Par conséquent, les pare-feu, les passerelles web sécurisées et les solutions EDR restent aveugles.
Aucun journal interne ne consigne l’exfiltration des données. Cette absence totale de signaux rend la détection quasiment impossible avec les contrôles actuels, pourtant largement déployés dans les organisations modernes.
Pourquoi les défenses classiques ne détectent rien ?
La réponse tient dans l’architecture même des agents d’IA. Ceux-ci lisent, analysent et agissent de façon autonome, sans générer de trafic suspect visible. ZombieAgent exploite précisément cette autonomie.
Les commandes malveillantes ressemblent à des instructions fonctionnelles ordinaires. Dès lors, aucun seuil d’alerte n’est franchi. Radware souligne que cette invisibilité côté cloud neutralise les mécanismes de surveillance traditionnels, conçus pour des attaques réseau ou terminales, et non pour des comportements internes d’agents intelligents.
Radware appelle à repenser la sécurité des agents d’IA
Face à cette découverte, Radware a informé OpenAI selon les règles de divulgation responsable. L’éditeur insiste sur l’urgence d’adapter les modèles de sécurité aux agents autonomes.
Un webinaire dédié se tiendra le 20 janvier 2026 afin de détailler l’anatomie de ZombieAgent et les pistes de défense. Les chercheurs rappellent ainsi que la surface d’attaque des agents d’IA s’élargit rapidement. Selon eux, sans garde-fous adaptés, ces outils prometteurs pourraient devenir des vecteurs silencieux de compromission durable.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
