Une faille d'AgentSmith dans le Prompt Hub de LangSmith a exposé les clés et les données de l'API utilisateur.

Les chercheurs en cybersécurité de Noma Security ont révélé une vulnérabilité critique au sein de la plateforme LangSmith de LangChain , affectant spécifiquement son Prompt Hub public. Cette faille critique, baptisée AgentSmith avec un score CVSS de 8,8 (selon une gravité élevée), pourrait permettre à des agents d'IA malveillants de voler des données utilisateur sensibles, notamment de précieuses clés API OpenAI, et même de manipuler les réponses de grands modèles linguistiques ( LLM ).

LangSmith est une plateforme LangChain populaire utilisée par de grandes entreprises comme Microsoft et DHL pour la gestion et la collaboration sur les agents IA. Le Prompt Hub , sa fonctionnalité clé, est une bibliothèque publique permettant de partager et de réutiliser des invites IA préconfigurées, dont beaucoup fonctionnent comme des agents.

La vulnérabilité AgentSmith exploitait la possibilité de configurer des proxys malveillants pour ces agents publics. Un serveur proxy servait d'intermédiaire pour les requêtes réseau. Dans ce cas, un attaquant pouvait créer un agent IA doté d'un proxy malveillant caché.

Lorsqu'un utilisateur sans méfiance adopte et exécute cet agent à partir du Prompt Hub, toutes ses communications, y compris les données privées telles que les clés API OpenAI , les fichiers téléchargés et même les entrées vocales, seraient secrètement envoyées via le serveur de l'attaquant.

Selon l'enquête de Noma Security, partagée avec Hackread.com, cette interception de type « Man-in-the-Middle » (MITM) pourrait avoir de graves conséquences. Les attaquants pourraient accéder sans autorisation au compte OpenAI d'une victime, télécharger des données sensibles, déduire des informations confidentielles à partir des invites, voire causer des pertes financières en épuisant les quotas d'utilisation de l'API.

Dans les attaques plus avancées, le proxy malveillant pourrait modifier les réponses LLM, ce qui pourrait conduire à une fraude ou à des décisions automatisées incorrectes.

Noma Security a divulgué de manière responsable la vulnérabilité à LangChain le 29 octobre 2024. LangChain a confirmé le problème et a rapidement déployé un correctif le 6 novembre 2024, avant cette divulgation publique.

Parallèlement à cela, la société a également introduit de nouvelles mesures de sécurité, des messages d'avertissement et une bannière persistante sur les pages de description des agents pour les utilisateurs qui tentent de cloner des agents avec des paramètres de proxy personnalisés.

Ni Noma Security ni LangChain n'ont trouvé de preuve d'exploitation active, et seuls les utilisateurs ayant interagi directement avec un agent malveillant étaient exposés. LangChain a également précisé que la vulnérabilité se limitait à la fonctionnalité de partage public du Prompt Hub et n'affectait ni leur plateforme principale, ni leurs agents privés, ni leur infrastructure plus large.

Cet incident souligne la nécessité pour les organisations d'améliorer leurs pratiques de sécurité en matière d'IA. Les chercheurs suggèrent de maintenir un inventaire centralisé de tous les agents d'IA, en utilisant une nomenclature IA ( AI BOM) pour suivre leurs origines et leurs composants. La mise en œuvre de protections d'exécution et d'une gouvernance de sécurité solide pour tous les agents d'IA est également essentielle pour se protéger contre les menaces en constante évolution.