Dans son Global Threat Report de 2026, CrowdStrike a signalé des attaques par injection d’invite dans plus de 90 organisations en 2025. Les invites injectées ont généré des commandes qui ont volé des informations d’identification et des cryptomonnaies, marquant un changement important puisque ces invites fonctionnent désormais comme malware.
Le rapport fait état d’une augmentation de 89 % d’une année sur l’autre des opérations adverses basées sur l’IA. De plus, 82 % des intrusions n’impliquaient aucun code malveillant traditionnel, se produisant alors que les entreprises passaient à l’utilisation d’agents, de copilotes et d’automatisations de navigateur qui accèdent aux e-mails, au code, aux paiements et aux partages de fichiers.
L’injection rapide a conservé sa première place en tant que LLM01 dans le Top 10 OWASP pour les applications de modèles de langage volumineux pendant deux éditions consécutives. L’OWASP a souligné que les modèles de langage sont incapables de distinguer de manière fiable les instructions du développeur du texte non fiable, transformant ce qui était autrefois une curiosité de recherche en une vulnérabilité opérationnelle.
L’injection d’invite directe a lieu lorsqu’un utilisateur saisit des instructions pour remplacer une invite système, tandis que l’injection d’invite indirecte se produit lorsqu’un attaquant intègre des instructions dans le contenu que le modèle lit ultérieurement, comme des e-mails ou des documents. L’utilisateur ne voit pas la charge utile et l’agent exécute les commandes malveillantes sans interaction.
Deux incidents notables mettent en lumière la gravité de ces vulnérabilités. En août 2024, PromptArmor a révélé qu’un attaquant de Slack AI pouvait exfiltrer des données de canaux privés en plaçant des instructions dans des canaux publics ou en téléchargeant des fichiers. L’année suivante, Aim Security a signalé EchoLeak (CVE-2025-32711), dans lequel un e-mail contrefait ordonnait à Microsoft 365 Copilot de récupérer des fichiers internes et de les envoyer à un serveur contrôlé par un attaquant, obtenant un score CVSS de 9,3. Les deux vulnérabilités ont été corrigées, mais la classe d’attaques reste non résolue.
La surface de vulnérabilité s’est élargie pour inclure une pile agentique plus large, dans laquelle les agents qui exécutent diverses tâches traitent leur contexte comme faisant autorité. Cette évolution signifie que la mémoire à long terme des agents peut conserver et exécuter des instructions malveillantes de manière répétée.
OpenAI a reconnu en décembre 2025 qu’il est peu probable que l’injection rapide soit entièrement résolue, la comparant souvent à l’ingénierie sociale. La carte système Claude Opus 4.6 d’Anthropic indiquait un taux de réussite de 17,8 % pour une seule tentative d’injection rapide, passant à 78,6 % sur 200 tentatives sans mesures de protection en place. Google a signalé un taux de réussite de 53,6 % pour l’injection rapide de son déploiement Gemini.
En décembre 2025, Gartner a conseillé aux RSSI de bloquer tous les navigateurs d’IA, citant l’injection indirecte d’invites et d’autres risques associés à des contrôles insuffisants. Cyberhaven a signalé que 27,7 % des organisations avaient au moins un utilisateur avec l’outil d’IA bloqué Atlas installé, un avertissement repris par le Centre national de cybersécurité du Royaume-Uni et le BSI allemand.
Les limites des défenses existantes contre l’injection rapide proviennent des canaux de texte partagés dans les modèles linguistiques. La validation des entrées, le filtrage des sorties et d’autres méthodes de détection rencontrent des difficultés en raison de l’incapacité inhérente à séparer les commandes autorisées du contenu non fiable au sein du modèle.
Une étude distincte indique que 65,3 % des organisations ne disposent pas de défenses dédiées contre l’injection rapide et s’appuient plutôt sur les mesures et la formation politique fournies par les fournisseurs. Des contrôles efficaces devraient inclure la limitation de l’autorité de chaque agent, l’exigence d’une approbation humaine pour les actions critiques, le marquage des sources de récupération en fonction de leur sensibilité et la mise en œuvre de pratiques d’audit.
Alors que les organisations envisagent des déploiements d’IA, les équipes de sécurité sont encouragées à interroger les fournisseurs sur les capacités de détection, les taux de réussite des injections rapides, le respect des recommandations OWASP et la capacité d’enregistrer les actions exactes des agents. Compte tenu des vulnérabilités, il est essentiel pour les entreprises de supposer que les modèles peuvent occasionnellement suivre des instructions injectées, ce qui nécessite des contrôles externes robustes.
