Le ver de Miasma : comment les agents de codage AI sont devenus une surface d'attaque de la chaîne d'approvisionnement
L'incident récent sur les fonctions Azure de Microsoft et 72 autres dépôts montre comment les agents de codage AI peuvent devenir une surface d'attaque importante. Microsoft a découvert le ver Miasma, une nouvelle classe de menace, grâce à cette expérience.
Ce qui s'est passé
Microsoft Azure Functions Action et 72 autres dépôts ont été désactivés après une attaque de chaîne d'approvisionnement non divulguée qui visait leurs agents de codage AI. Le ver Miasma exploitait des workflows automatisés où les assistants AI lisent le code, traitent les résultats ou interagissent avec les outils CI/CD pour propager des changements malveillants dans les dépôts connectés. Ce n'était pas un secret mal configuré ou un lien d'hameçonnage; il impliquait les outils et les processus mêmes utilisés par ces systèmes d'IA.
Comment ça marche
Le ver Miasma a mis à profit les agents d'IA de confiance fondamentaux dans leurs entrées – résultats d'outils, contexte et commandes – dans le flux de travail CI/CD. En empoisonnant le contenu que les agents de l'IA consommeraient en tant que résultats d'outils ou contexte, ils ont été amenés à propager des changements malveillants dans les dépôts auxquels ils avaient accès par écrit.
Chaque agent infecté est devenu un vecteur dans le dépôt suivant, où les systèmes d'IA ultérieurs le lisent et suivent le même modèle. La dynamique de ver est ce qui rend cette attaque sévère: un agent d'entrée compromise → prend des mesures → que l'action empoisonne un autre repo → un autre agent lit → répéter. Aucun humain dans la boucle. C'était à la différence des attaques traditionnelles qui impliquaient l'hameçonnage ou des secrets mal configurés; au contraire, elle exploitait une faille fondamentale dans le fonctionnement des agents de l'IA.
Écart de détection
Les outils conçus pour arrêter ce type d'attaque ont tous été construits pour le monde pré-agentique: GitHub Actions contrôles de sécurité veille pour les actions malicieuses connues et l'application des autorisations de workflow. Ils n'inspectent pas le contenu sémantique de ce qu'on a dit à un agent d'IA de faire ou pourquoi, tandis que les outils SAST/DAST analysent le code des vulnérabilités mais manquent de visibilité pour savoir si l'instruction qui a produit le code était contradictoire.
Rôle de Sentinelle
L'incident souligne un écart critique : rien n'était assis entre le résultat de l'outil et l'agent, demandant si ce contenu essaie de détourner ce que l'agent fait ensuite. Cette surveillance a conduit à sa détection par la couche de détection agentic tool abuse de Sentinel.
Le proxy transparent de Sentinel intercepte le résultat de l'outil, l'exécute à travers les trois couches de détection (Layer 1: Bandes de normalisation invisibles caractères Unicode et homoglyphes; Layer 2: Fast-path regex capture des signatures de haute confiance comme des détournements d'autorité ou des tentatives d'extraction rapide), puis vérifie si l'un de ces signes indique une attaque potentielle. Cette couche a empêché la propagation de changements malveillants, assurant que les agents d'IA agissent sur des intrants propres et sûrs.
Conclusion
Le ver Miasma démontre comment les flux de travail modernes de CI/CD peuvent devenir vulnérables à de nouveaux types d'attaques par des faiblesses dans les modèles de confiance centrés sur les agents de codage AI et les flux de travail agentique. La compréhension de ces vulnérabilités est cruciale pour tous ceux qui utilisent de tels systèmes aujourd'hui et souligne l'importance de la surveillance continue de la sécurité et des technologies de détection avancées comme la couche agentic tool abuse de Sentinel.
Pour plus de renseignements sur cet incident, visitez Le blog de StepSecurity.
Source : DEV Community. Synthèse éditoriale assistée par IA — TechnoExpress.