Un hacker injecte un prompt destructeur dans un dépôt Amazon

Un hacker injecte un prompt destructeur dans un dépôt Amazon

Et si une IA effaçait tout simplement vos fichiers… parce qu’on lui a demandé ? C’est exactement ce qu’a tenté un hacker en injectant un prompt extrêmement dangereux dans le plugin officiel d’Amazon Q pour VS Code. Plus qu’une simple provocation, cette attaque met en lumière les failles humaines dans la chaîne logicielle. Voici ce qu’il s’est vraiment passé.

Un commit piégé dans un plugin Amazon

Le 13 juillet 2025, un certain lkmanka58 pousse un commit sur le dépôt GitHub du plugin officiel Amazon Q pour VS Code. Ce commit contient un simple texte, stocké dans une variable PROMPT, qui demande à une IA d’effectuer les actions suivantes :

  • nettoyer le système,
  • supprimer les fichiers du disque dur local,
  • effacer les ressources cloud liées à AWS,
  • enregistrer les actions dans /tmp/CLEANER.LOG.

Un détail inquiétant : ce texte est passé à une commande système (childProcess.exec) dans un fichier actif de l’extension.

Ce n’est pas (juste) une prompt injection

On pourrait croire à une prompt injection classique, mais ce n’est qu’un des éléments rendant le hack possible.
Le véritable problème ici est plus fondamental : le hacker a obtenu des droits d’écriture sur un dépôt officiel Amazon. Et il les a utilisés pour injecter un "prompt destructeur" dans un plugin distribué publiquement via le marketplace VS Code. La version vérolée (1.84.0) a été publiée le 17 juillet, avant d’être retirée en urgence le 19 juillet.


Capture du commit malveillant injecté dans le plugin Amazon Q
Un extrait du commit controversé montre un prompt destructeur demandant à une IA de supprimer fichiers locaux et ressources AWS. Ce texte a été injecté directement dans le code source d’un plugin officiel Amazon.

Un scénario catastrophe plausible

Ce qui rend cette attaque si marquante, c’est qu’elle repose sur une idée terrifiante mais simple : une IA avec les accès suffisant pourrait exécuter des commandes dangereuses juste parce qu’on lui a formulé la demande.

Si l’extension avait exécuté ce prompt via un agent IA mal conçu, avec accès au terminal, alors :

  • les fichiers locaux de l’utilisateur auraient pu être effacés,
  • ses ressources AWS supprimées (si connecté via aws configure),
  • son identité IAM modifiée ou détruite.

Heureusement, le format du prompt était mal structuré et la commande q utilisée semble être fictive ou interne.

Ce que cela révèle sur la sécurité IA

Cette attaque ne cible pas une faille dans l’IA elle-même, mais dans l’environnement qui l’entoure. Elle démontre :

  • l’importance de valider chaque contribution sur un dépôt open source,
  • les risques d’utiliser des IA agentiques sans vérification humaine,
  • l’urgence de cloisonner les agents IA dans des environnements sûrs (VM, sandbox).

C’est un exemple frappant de ce que peut causer une architecture trop confiante : une IA qui exécute ce qu’on lui dit, sans discernement, ni garde-fous.

Sources

Qu’est-ce qu’une prompt injection ?

Une prompt injection consiste à détourner un système basé sur une IA en y injectant un texte malveillant ou manipulateur. L’objectif est que l’IA interprète ce texte comme une instruction à exécuter (un prompt).

La prompt injection sur Amazon Q était-elle une vraie menace ?

Oui, car le plugin compromis a été diffusé publiquement. Si une IA avait interprété le prompt injecté et exécuté les commandes, les fichiers locaux et les ressources cloud de l’utilisateur auraient pu être supprimés.

Les fichiers d’Amazon ont-ils été touchés par une prompt injection sur Amazon Q?

Non. Le prompt visait les fichiers locaux et les ressources cloud de l’utilisateur final, pas les serveurs internes d’Amazon.

Que retenir de l'attaque par prompt injection contre Amazon Q pour la sécurité IA ?

Il est crucial de restreindre les actions des agents IA, de cloisonner leur environnement, et de ne jamais leur donner d’accès direct au terminal sans validation humaine explicite.

Sur le même sujet

Sécurité informatique Agent IA

Email Agent Hijacking (EAH) : comprendre et se protéger de cette attaque

Les agents IA qui gèrent nos emails deviennent courants, mais ils introduisent une nouvelle faille de sécurité critique : l'Email Agent Hijacking (EAH). Cette attaque permet à un pirate de prendre le contrôle de l'agent et du compte email, sans que l'utilisateur ne s'en aperçoive. Si vous utilisez ou développez des outils d'automatisation email basés sur des LLM, cet article vous concerne directement.

OpenCode Open Source
OpenCode : Agent de codage open source

OpenCode : L'Agent de codage Open Source qui met les développeurs aux commandes

Dans l'univers des assistants de codage IA, des géants comme GitHub Copilot et Claude Code dominent le marché. Mais que se passe-t-il quand vous voulez garder le contrôle sur vos outils, votre code et vos données ? C'est là qu'intervient OpenCode, un agent de codage open source qui gagne en notoriété. Plus qu'une simple alternative, c'est une véritable philosophie : celle de redonner aux développeurs le pouvoir sur leur environnement de travail.

Cybersécurité Whisper Leak
Analyse technique de l'attaque Whisper Leak

Qu'est-ce qu'une attaque "Whisper Leak" ?

En novembre 2025, l'équipe de sécurité de Microsoft a révélé une nouvelle classe de vulnérabilité affectant les grands modèles de langage (LLM) : l'attaque "Whisper Leak".
Cette attaque par canal auxiliaire (side-channel attack) ne compromet pas le chiffrement, mais exploite les métadonnées du trafic réseau pour déduire le sujet des conversations avec une IA. Pour les développeurs et les architectes logiciels, comprendre ce vecteur d'attaque est devenu essentiel pour concevoir des systèmes d'IA robustes et respectueux de la vie privée.

vibe coding sécurité
Faille de sécurité de l'app Tea

Le leak de Tea : les limites actuelles du Vibe coding

Le piratage de l'app Tea a mis en lumière un problème majeur : le recours excessif au code généré par IA sans contrôle humain rigoureux. Cette pratique, appelée vibe coding, favorise la rapidité au détriment de la sécurité. Retour sur cet incident et les leçons à en tirer pour les développeurs.

prompt injection hacking
Prompt injection, une faille inquiétante dans l'IA

Les "prompt injection" : l'avenir du piratage des intelligences artificielles ?

Les prompt injection intriguent autant qu'elles inquiètent. Ces attaques visent à manipuler le comportement des intelligences artificielles en détournant leurs consignes initiales. Un terrain de jeu fascinant pour les hackers, mais aussi une véritable menace pour la cybersécurité.

OpenClaw GitHub
OpenClaw AI GitHub : 7 automatisations concrètes

OpenClaw AI GitHub : 7 automatisations concrètes pour transformer l'IA en moteur d'exécution autonome

Si vous cherchez OpenClaw sur GitHub, c'est probablement parce que vous avez dépassé la phase "chatbot" et que vous voulez une IA qui agit vraiment à votre place. Cet article s'adresse aux développeurs, créateurs et power users qui veulent passer de l'assistant conversationnel à l'agent autonome opérationnel — sans abonnement SaaS et sans sacrifier leur vie privée.