Des failles dans les outils d'IA d'Amazon et LangSmith permett...
Des chercheurs ont découvert que les environnements d'exécution de code des IA d'Amazon et LangSmith peuvent être détournés pour voler des données sensibles.
Les agents IA, ces programmes capables d'agir de manière autonome, ont besoin d'exécuter du code pour fonctionner. Amazon propose un service appelé Bedrock AgentCore qui leur fournit un espace sécurisé pour le faire, un peu comme une salle blindée où le programme travaille sans pouvoir accéder au monde extérieur.
Sauf que cette salle blindée a une fuite. Des chercheurs de BeyondTrust ont découvert que même en mode sandbox (l'environnement censé être totalement isolé), le service laisse passer les requêtes DNS. Le DNS, c'est le système qui traduit les noms de sites web en adresses numériques, un peu comme un annuaire téléphonique d'internet.
Le problème : un attaquant peut utiliser ces requêtes DNS comme un canal de communication secret. Il peut envoyer des commandes à l'IA et récupérer des données sensibles sans que les protections de sécurité ne s'en aperçoivent. En pratique, un pirate pourrait accéder aux fichiers stockés sur Amazon S3 (le service de stockage cloud d'Amazon) si les permissions sont mal configurées.
Amazon a répondu que c'était un comportement volontaire, pas un bug. L'entreprise recommande d'utiliser le mode VPC (un réseau virtuel privé) au lieu du mode sandbox pour une isolation complète, et de mettre en place un pare-feu DNS.
Ce n'est pas tout. Une autre faille a été trouvée dans LangSmith, un outil populaire pour développer des applications à base d'IA. Référencée CVE-2026-25750 avec un score de gravité de 8.5 sur 10, elle permettait à un attaquant de voler le jeton d'authentification d'un utilisateur et de prendre le contrôle de son compte. Cette faille a été corrigée.
Ces découvertes rappellent que les outils d'IA, même les plus populaires, ne sont pas à l'abri des failles de sécurité. À mesure que les entreprises déploient des agents IA avec des accès à des données sensibles, la surface d'attaque grandit.
Questions fréquentes
Quels sont les points clés à retenir ?
Des failles dans les outils d'IA d'Amazon et LangSmith permett... marque un tournant dans le secteur. Les changements annoncés touchent directement les utilisateurs et professionnels du domaine, avec des conséquences concrètes sur les usages quotidiens.
Quand les changements prendront-ils effet ?
Les premiers effets devraient se faire sentir dans les semaines à venir. Les détails exacts du calendrier restent à confirmer par les acteurs impliqués.
Quel impact pour les utilisateurs ?
Les utilisateurs actuels verront des modifications dans leur expérience. L'ampleur de ces changements dépend du profil d'utilisation de chacun.
À lire aussi
Mamba-3 : l'architecture qui veut detroner les Transformers
Together AI et Carnegie Mellon presentent Mamba-3, un modele d'IA qui promet des performances equivalentes aux Transformers pour un cout bien moindre.
Mamba-3 : SSM optimise inference, benchmarks et architecture
Analyse technique de Mamba-3, le State Space Model de Together AI qui repense l'inference LLM avec recurrence complexe, mode MIMO et noyaux Triton/TileLang.
OpenCode : l'agent de code IA open source qui explose
Avec 120 000 etoiles GitHub et 5 millions d'utilisateurs mensuels, OpenCode s'impose comme l'alternative gratuite aux agents de coding IA proprietaires.