IA / ML : vecteurs d'attaque (SOCLE)

L'étape IA / ML de la chaîne logicielle regroupe 8 vecteurs d'attaque, ancrés dans MITRE ATLAS · OWASP LLM/Agentic. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Empoisonnement des données d'entraînement

Modèle / artefact ML empoisonné

Lib d'infra IA piégée

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-IA-1Empoisonnement des données d'entraînement

Des données d'entraînement sont manipulées pour induire un comportement malveillant ou biaisé dans le modèle résultant (ATLAS AML.T0020). La compromission est en amont, dans le jeu de données, invisible à l'inspection du modèle seul.

Ancré dansATLAS AML.T0020

Exigences qui le neutralisent SOCLE-IA-MLB-1 SOCLE-IA-MLB-3

V-IA-2Modèle / artefact ML empoisonné

Un modèle ou artefact ML téléchargé contient une charge (poids piégés, code de désérialisation) exécutée au chargement ou produisant des sorties dangereuses. Le modèle est une dépendance à part entière, rarement vérifiée.

Ancré dansATLAS, CNCF

Exigences qui le neutralisent SOCLE-IA-MLB-2 SOCLE-IA-MLB-3 SOCLE-IA-MLB-4 SOCLE-IA-GEN-2 SOCLE-IA-GVN-2

V-IA-3Lib d'infra IA piégée

Une bibliothèque de l'écosystème IA (serving, orchestration, agents) est compromise comme n'importe quelle dépendance, mais avec un accès privilégié aux données et aux modèles. La surface supply chain classique appliquée à la pile IA.

Ancré dansOWASP A03

Exigences qui le neutralisent SOCLE-INT-GEN-1 SOCLE-INT-GEN-5 SOCLE-IA-MLB-2 SOCLE-IA-GEN-1

V-IA-4Prompt injection (directe / indirecte)

Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051).

Ancré dansATLAS AML.T0051, OWASP LLM01

Exigences qui le neutralisent SOCLE-IA-LLM-1 SOCLE-IA-GEN-3 SOCLE-IA-GEN-2 SOCLE-IA-GEN-4 SOCLE-IA-GEN-5 SOCLE-IA-GVN-1 SOCLE-IA-GVN-2 SOCLE-IA-REV-1 SOCLE-IA-REV-2 SOCLE-IA-LLM-4 SOCLE-IA-SOV-1

V-IA-5RAG poisoning / fausse entrée RAG

Une source indexée par un système RAG est empoisonnée pour injecter de fausses informations ou des instructions cachées dans le contexte du modèle. La base de connaissances de confiance devient un vecteur d'injection indirecte.

Ancré dansATLAS

Exigences qui le neutralisent SOCLE-IA-LLM-1 SOCLE-IA-GEN-3

V-IA-6Outil / skill d'agent empoisonné (MCP)

Un outil, skill ou serveur MCP exposé à un agent est piégé pour exécuter des actions malveillantes ou exfiltrer des données lorsqu'il est invoqué. L'agent, en appelant l'outil de confiance, déclenche la charge (ATLAS).

Ancré dansATLAS (Publish Poisoned AI Agent Tool)

Exigences qui le neutralisent SOCLE-ORC-GEN-6 SOCLE-IA-LLM-2 SOCLE-IA-LLM-3 SOCLE-IA-GEN-1 SOCLE-IA-LLM-4

V-IA-7Persistance via config d'agent

La configuration d'un agent IA est modifiée pour installer une instruction ou un outil persistant, réactivé à chaque exécution. La persistance s'installe dans la configuration plutôt que dans le code (ATLAS Modify AI Agent Configuration).

Ancré dansATLAS (Modify AI Agent Configuration)

Exigences qui le neutralisent SOCLE-IA-LLM-3 SOCLE-SEC-GEN-2

V-IA-8Récolte de credentials via RAG / config d'agent

Un agent ou un système RAG est manipulé pour collecter et exfiltrer des secrets accessibles via son contexte, ses outils ou sa configuration. Les droits étendus de l'agent en font un collecteur de credentials.

Ancré dansATLAS

Exigences qui le neutralisent SOCLE-IA-LLM-3 SOCLE-SEC-GEN-3 SOCLE-SEC-GEN-2 SOCLE-IA-GEN-5 SOCLE-IA-SOV-1 SOCLE-IA-GEN-6

Prochaines étapes

Étape suivante : Posture cloud & infrastructure (IaaS / conteneurs)Vecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne