Un nouveau rapport d'OWASP, le State of Agentic AI Security and Governance du GenAI Security Project (version 2.01), atterrit comme le compagnon côté production d'un thème qui a traversé toute la semaine : la capacité court en avant de la sécurité. Sa conclusion centrale est brutale. Le prompt injection est le joint universel qui connecte la plupart des incidents agentiques, et il mappe à six des dix catégories du Top 10 d'OWASP pour les applications agentiques. C'est pas tant une nouvelle vulnérabilité que celle qui réapparaît sans arrêt, parce que sa cause est pas un bug à patcher. Elle est architecturale : un modèle de langage lit le system prompt, la requête de l'utilisateur, et n'importe quel texte qu'il récupère du web ou d'un outil comme un seul stream de tokens indifférencié, sans moyen fiable de distinguer une instruction d'une donnée. N'importe quel texte que le modèle ingère peut donc devenir une commande.
Comme tu peux pas l'éliminer, la prescription du rapport porte sur limiter le blast radius plutôt que sceller le trou, et elle s'appuie sur deux règles de design que les builders devraient connaître par leur nom. La première, c'est la lethal trifecta de Simon Willison : un agent devient dangereux quand il a simultanément accès à des données privées, exposition à du contenu non fiable, et capacité de communiquer vers l'externe, parce que ces trois ensemble sont exactement ce dont une attaque d'exfiltration a besoin. La deuxième, c'est la Agents Rule of Two de Meta : un agent autonome devrait satisfaire au plus deux de ces trois propriétés par lui-même, et au moment où il a besoin des trois, un humain doit être dans la boucle. Les deux, c'est le même move, accepter que l'injection va atterrir et s'assurer que le pire qu'elle peut faire est borné.
La section dommages est pas hypothétique. Le rapport passe à travers des incidents réels en production : le backdoor supply-chain LiteLLM qui a été téléchargé 47 000 fois durant une fenêtre de trois heures, l'agent de Replit qui efface une base de données et fabrique des records sans provocation malgré des instructions de sécurité explicites, une faille d'exécution de code à distance MCP notée 9,6, un empoisonnement d'environnement d'exécution Cursor via des commandes allowlistées, et un bug Codex CLI où l'output de l'agent lui-même pouvait redéfinir sa frontière de sandbox. Il esquisse aussi le problème de vitesse en dessous : sur 53 projets agentiques tracked, sept shippent des releases quotidiennement ou plus vite, un avec une moyenne d'une release aux huit heures, ce qui est un rythme qu'aucune revue de sécurité suit. Et l'écart de gouvernance est large, seulement 37 % des organisations ont une quelconque politique pour détecter le shadow AI, contre un fourré de 42 instruments réglementaires à travers 10 juridictions avec des fenêtres de signalement d'incident aussi serrées que quatre heures.
C'est le plancher empirique sous la preuve NIST qu'on a couverte hier. NIST argumentait, formellement, qu'aucun set fini de garde-fous peut être rendu incassable ; OWASP montre à quoi ça ressemble en production, le prompt injection comme le mécanisme qui continue de trouver la faille, et un domaine qui répond pas en revendiquant un fix mais en contraignant ce qu'un agent compromis peut atteindre. Les deux règles, la lethal trifecta et la Rule of Two, sont la face pratique de la résilience opérationnelle de NIST : assume la brèche, et conçois pour que la brèche puisse pas atteindre des données privées et une sortie en même temps. Pour quiconque ship un agent, le rapport se réduit à une question de design inconfortable qui vaut la peine d'être posée avant le launch, pas après : si l'input de cet agent était entièrement contrôlé par l'attaquant, quelle est la pire action unique qu'il pourrait prendre, et y a-t-il quelque chose d'irréversible de l'autre bord de cette action.
