Agentjacking : les agents IA de codage dans le viseur

Une chaîne d'attaque invisible au cœur des outils de développement

La sécurité des agents IA de codage vient de franchir un cap préoccupant. Les chercheurs de Tenet Security ont publié le 12 juin 2026 une analyse détaillant une nouvelle classe d'attaque qu'ils ont baptisée « Agentjacking » — contraction d'agent et de hijacking. La technique cible spécifiquement les outils de développement pilotés par des modèles de langage, capables d'exécuter des actions de façon autonome sur les postes de travail des ingénieurs : lire des fichiers, modifier du code, lancer des commandes shell, accéder à des dépôts distants.

Le vecteur initial décrit dans le rapport est particulièrement insidieux. L'attaquant forge un faux rapport d'erreur au format Sentry — la plateforme de suivi des erreurs et de monitoring de performance open source utilisée par des millions de projets à travers le monde — et le fait remonter vers le système de l'agent IA cible. Lorsque l'agent traite ce rapport pour « résoudre » l'erreur, il interprète le contenu malveillant comme une instruction légitime et exécute le code embarqué dans le faux rapport.

Ce mécanisme exploite un principe fondamental du fonctionnement des agents IA modernes : leur capacité à interpréter du contenu issu de sources externes pour prendre des décisions et agir en conséquence. Là où un développeur humain lirait un rapport d'erreur avec un œil critique, l'agent IA suit les instructions sans le filtre d'un raisonnement sceptique systématique. Tenet Security décrit une attaque par injection de prompt indirect portée à un nouveau niveau d'impact, puisque l'exécution de code arbitraire est directement possible sans interaction humaine supplémentaire.

Les chercheurs ont testé leur vecteur d'attaque contre plusieurs agents populaires sur le marché, dont Cursor — l'éditeur de code IA qui a connu une adoption massive en 2025-2026 avec plusieurs millions d'utilisateurs actifs — ainsi que GitHub Copilot Workspace, la fonctionnalité autonome de GitHub permettant de déléguer des tickets entiers à un agent IA, et Devin, l'agent de codage autonome de Cognition Labs. L'attaque s'est révélée fonctionnelle sur l'ensemble des cibles testées, avec des variantes selon le niveau d'accès accordé à chaque agent dans l'environnement de développement.

L'impact potentiel d'un Agentjacking réussi est considérable. Selon le rapport de Tenet Security, un attaquant parvenant à détourner un agent IA doté d'accès complets à un poste de développeur peut exfiltrer des secrets d'environnement (clés d'API, tokens SSH, credentials AWS/Azure), modifier silencieusement du code source avant qu'il ne soit soumis à une révision humaine, installer des backdoors dans les dépendances du projet, ou encore pivoter vers d'autres systèmes accessibles depuis le poste compromis. Dans le contexte d'un développeur travaillant sur des infrastructures critiques ou des produits SaaS, les conséquences d'une telle compromission peuvent toucher des centaines de milliers d'utilisateurs finaux.

Tenet Security insiste sur le fait que la surface d'attaque créée par les agents IA n'est pas seulement liée aux permissions explicitement accordées. Beaucoup d'environnements de développement sont configurés pour que l'agent accède à l'historique Git complet, aux fichiers .env non versionnés, aux configurations de cloud CLI stockées localement, et aux credentials de bases de données de développement. Ces éléments sont rarement isolés du reste du système. L'agent IA opère avec les droits de l'utilisateur connecté, sans cloisonnement par défaut.

La technique ne requiert pas de compromission préalable de l'infrastructure Sentry. Les faux rapports peuvent être injectés via d'autres canaux : un README malveillant dans un dépôt public que l'agent est invité à analyser, une issue GitHub formulée de façon à tromper l'agent en mode « résolution automatique », ou des commentaires de code dans des fichiers partagés. Toute source de contenu textuel que l'agent est amené à lire et à interpréter comme des instructions devient un vecteur potentiel d'Agentjacking.

La publication de Tenet Security ne mentionne pas de correctif disponible à ce stade. Les éditeurs concernés — Anysphere pour Cursor, GitHub/Microsoft pour Copilot Workspace, Cognition pour Devin — ont été contactés dans le cadre d'une divulgation responsable avant la publication. Les mesures de mitigation proposées reposent essentiellement sur des bonnes pratiques d'architecture : sandboxer l'exécution des agents, limiter strictement les permissions d'accès aux fichiers sensibles, et activer une validation humaine obligatoire pour toute action à fort impact décidée par l'agent.

Une menace qui cristallise les risques de l'IA autonome dans les pipelines DevSecOps

L'émergence de l'Agentjacking s'inscrit dans une tendance plus large que la communauté de la sécurité observe avec une attention croissante depuis l'explosion de l'adoption des agents IA en 2025. Les attaques par prompt injection — technique consistant à injecter des instructions malveillantes dans le contexte d'un modèle de langage pour lui faire dévier de son comportement attendu — étaient jusqu'ici principalement étudiées dans le contexte des chatbots grand public. La nouveauté ici est que la cible n'est plus un assistant conversationnel mais un agent disposant de capacités d'exécution réelles sur des systèmes sensibles.

Le modèle d'accès accordé aux agents de codage est structurellement problématique du point de vue de la sécurité. Pour être utiles, ces agents doivent avoir accès à de larges pans du contexte de travail du développeur : l'ensemble du dépôt, les fichiers de configuration, les variables d'environnement, parfois les secrets dans des vaults locaux. Ce niveau d'accès est précisément ce qui les rend productifs — et simultanément ce qui fait de leur détournement une opération à très fort rendement pour un attaquant.

D'un point de vue historique, ce type de risque était déjà documenté de façon théorique. Les travaux du chercheur Johann Rehberger sur les attaques par injection de prompt indirect publiés en 2024 avaient prévu que l'autonomisation croissante des agents IA en ferait des cibles de choix. La nouveauté introduite par Tenet Security est la démonstration empirique, avec une chaîne d'exploitation complète et reproductible sur des outils commerciaux en production.

Pour les équipes de sécurité, l'Agentjacking pose un défi particulier : la détection est difficile. L'agent IA opère souvent de façon légitime sur le poste du développeur, ses actions sont mélangées à un flux normal d'activité, et les logs produits peuvent être insuffisants pour distinguer une action légitime d'une action déclenchée par un contenu malveillant. Les solutions de type EDR (Endpoint Detection and Response) ne sont pas conçues pour analyser la sémantique des prompts traités par un LLM. Il s'agit d'une lacune de visibilité réelle que les équipes SOC vont devoir adresser à mesure que l'adoption des agents IA en entreprise s'accélère.

Ce qu'il faut retenir

• L'« Agentjacking » est une technique d'attaque documentée par Tenet Security permettant de détourner des agents IA de codage (Cursor, Copilot Workspace, Devin) pour exécuter du code arbitraire sur les machines des développeurs.
• Le vecteur initial démontré passe par un faux rapport d'erreur Sentry, mais tout contenu textuel interprété comme instruction par l'agent constitue une surface d'attaque potentielle.
• La mitigation recommandée combine sandboxing des agents, limitation stricte des permissions et validation humaine obligatoire pour les actions à fort impact.