// FRANDROID — INTELLIGENZA ARTIFICIALE
Claude Code, Cursor, Gemini CLI : tous piégés par la même ruse, attention pour vos données
Le dépôt ne contient aucun code malveillant. Pas une ligne. Pourtant, il suffit qu’un développeur demande à Claude Code, l’assistant de codage d’Anthropic, de lancer le projet pour qu’une porte s’ouvre vers la machine de l’attaquant. C’est ce qu’ont démontré Andre Hall et Miller Engelbrecht, deux chercheurs du 0DIN, le programme de chasse aux bugs IA de Mozilla.
Pour ceux qui ne codent pas : Claude Code, Cursor ou Gemini CLI sont des « agents » de programmation. Une fois qu’on les autorise, ils peuvent lire des fichiers, lancer des commandes et se connecter au réseau, presque sans demander confirmation. C’est pratique pour gagner du temps, et c’est aussi exactement ce que l’attaque exploite.
Pour aller plus loin
Votre navigateur IA peut se faire pirater par une simple phrase cachée : voici comment et pourquoi
Le tour de passe-passe repose sur des poupées russes. Les chercheurs ont monté un faux outil cloud baptisé « Axiom », avec un dépôt propre et des instructions banales. Le 0DIN explique que le paquet Python est conçu pour planter au premier lancement, avec un message d’erreur poli qui invite à lancer une commande d’initialisation. Claude Code lit l’erreur, fait ce qu’on attend de lui et lance la commande pour réparer.
Sauf que cette commande appelle un petit script. Et ce script va chercher sa charge utile non pas dans un fichier, mais dans un enregistrement DNS TXT contrôlé par l’attaquant. Le DNS, normalement, c’est l’annuaire qui traduit un nom de site en adresse ; ses champs « TXT » servent d’habitude à des réglages d’e-mail tout ce qu’il y a de plus banal. Ici, le champ contient une commande encodée qui ouvre un reverse shell : un terminal sur la machine du développeur, mais piloté à distance par l’attaquant.
Le résultat est résumé d’une formule par les chercheurs : Claude Code n’a jamais décidé d’ouvrir un accès pirate, il a décidé de réparer une erreur. Pendant ce temps, le développeur ne voit qu’un message du genre « environnement prêt ». Comme le code malveillant n’existe nulle part dans le dépôt et n’arrive qu’au moment de l’exécution, les scanners de sécurité, la relecture humaine et l’IA elle-même passent tous à côté.
Une fois l’accès ouvert, l’attaquant récupère tout ce que le développeur a sous la main : clés d’API, identifiants cloud, jetons GitHub, fichiers de configuration. Il peut aussi déposer une clé SSH ou installer une tâche planifiée pour rester durablement dans la place. Pire, la charge utile est interchangeable : il suffit de modifier l’enregistrement DNS pour servir au prochain visiteur un autre programme, sans jamais toucher au dépôt. Un seul lien partagé dans une offre d’emploi, un tutoriel ou un message Slack peut alors piéger tous ceux qui l’ouvrent avec un agent de codage.
Le 0DIN précise que Cursor et Gemini CLI tombent dans le même piège, parce que le défaut n’est pas dans Claude Code en particulier : il vient du comportement commun à tous ces agents, leur réflexe de réparer une erreur sans poser de question. Selon CybersecurityNews, l’injection de prompt indirecte, le nom de cette famille d’attaques, est classée par la fondation OWASP comme la faille la plus critique des applications d’IA. Pour l’instant, il s’agit d’une démonstration, sans cas d’exploitation réel rapporté.
La parade, côté éditeurs, tient en une idée : que l’agent montre vraiment ce qu’un script de configuration va exécuter avant de le lancer, y compris ce qu’il récupère à distance. En attendant, le conseil des chercheurs vaut pour tout développeur qui utilise ces outils : traiter les instructions d’un dépôt inconnu comme du code non vérifié, et se méfier d’un projet un peu trop propre. C’est peut-être l’appât.
Pour aller plus loin
Qu’est ce qu’un Prompt IA ? Comment en réaliser un pertinent et comment le maintenir à jour ?