L'ampleur du problème
En février 2026, des chercheurs en sécurité sur r/cybersecurity ont rapporté avoir scanné plus de 8 000 serveurs MCP (Model Context Protocol) visibles sur l'internet public. Ce qu'ils ont trouvé est alarmant : une portion significative avait des panneaux admin, des endpoints de debug, ou des routes API exposés sans aucune authentification.
Cela ne s'est pas produit en isolation. En janvier 2026, l'écosystème Clawdbot — l'un des outils d'IA agentique basés sur MCP les plus populaires — a connu un incident de sécurité catastrophique. En 72 heures d'adoption virale :
- 10 000+ instances déployées dans le monde
- 1 000+ panneaux admin publiquement accessibles (sans auth)
- 200+ clés API extraites par des scanners automatisés
- 50 000$+ de charges API non autorisées signalées
Ce qui était exposé
Les instances exposées révélaient une surface d'attaque dévastatrice :
- Historiques complets des conversations — incluant les données sensibles traitées par l'IA
- Variables d'environnement — clés API OpenAI, identifiants de base de données, tokens internes
- Configurations d'outils — quels outils l'agent pouvait invoquer, incluant
shell_executeetfile_write - Prompts système — les instructions complètes contrôlant le comportement de l'agent
Comme un utilisateur de r/netsec l'a noté : « Les outils de codage IA fuient des secrets via les répertoires de configuration. » Ce post a recueilli 163 votes positifs et 17 commentaires.
Comment les attaquants exploitent ceci
1. Accès admin non authentifié
L'attaque la plus simple : naviguer vers http://[ip]:8080/admin — aucun identifiant requis.
2. Injection de prompt (directe et indirecte)
Comme Simon Willison l'a écrit : « La différence entre une injection chatbot et une injection agentique, c'est la différence entre un canular téléphonique et un braquage de banque. »
3. Empoisonnement d'outils MCP
Un nouveau vecteur d'attaque ciblant spécifiquement MCP, documenté sur r/cybersecurity : les attaquants créent des descriptions d'outils MCP malveillantes qui altèrent le comportement de l'agent.
L'analyse de Simon Willison, « MCP a des problèmes de sécurité d'injection de prompt », documente comment MCP crée intrinsèquement des surfaces d'injection.
Ce que disent les experts
Simon Willison : « Le triptyque mortel »
Le triptyque mortel pour les agents IA : données privées + contenu non fiable + communication externe. Quand les trois sont présents, un attaquant peut voler des données.
Johann Rehberger : Une vulnérabilité par jour
Johann Rehberger (Embrace The Red) a publié une vulnérabilité de prompt injection par jour pendant tout août 2025. Surnommé « L'été de Johann ».
Recherche académique
97 papers sur arXiv correspondent à « prompt injection agentic AI » en février 2026. Papers clés :
▸ SMCP: Secure Model Context Protocol — Extensions de sécurité pour MCP
▸ OMNI-LEAK — Fuite de données dans les réseaux multi-agents (ICML 2026)
▸ « Your AI, My Shell » — Injection de prompt dans les éditeurs de code IA
▸ SoK: Sécurité dans l'écosystème MCP — MCP comme « le USB-C de l'IA agentique »
OWASP LLM Top 10 : c'est le risque #1
Le OWASP Top 10 pour les applications LLM (2025) — maintenu par 600+ experts de 18 pays — place l'injection de prompt en LLM01, le risque numéro un.
Le playbook de durcissement : 10 étapes qui fonctionnent
- Lier les panneaux admin à localhost uniquement
- Exiger l'authentification partout
- Configurer le pare-feu — UFW : refuser tout, autoriser SSH + HTTPS
- Activer HTTPS/TLS
- Gérer les secrets correctement
- Configurer la limitation de débit
- Valider toutes les entrées
- Activer la journalisation d'audit
- Liste blanche des outils — désactiver
shell_executesauf si nécessaire - Surveiller et alerter
Obtenez la checklist interactive complète ici.
Sources & lectures complémentaires
Standards officiels
▸ OWASP Top 10 pour les applications LLM (2025)
▸ OWASP GenAI Security Project
Analyses d'experts
▸ Simon Willison — « MCP a des problèmes d'injection de prompt »
▸ Simon Willison — « Le triptyque mortel pour les agents IA »
▸ Johann Rehberger — Embrace The Red
Recherche communautaire (Reddit)
▸ r/cybersecurity — « We scanned 8,000+ MCP servers »
▸ r/netsec — « AI coding tools are leaking secrets »
▸ r/cybersecurity — « New attack vector: MCP tool poisoning »