Les pages Web malveillantes prennent le contrôle des agents IA, et certaines ciblent votre PayPal

En résumé

• Google a documenté une augmentation de 32 % des attaques d’injection indirecte de prompts malveillants entre novembre 2025 et février 2026, ciblant des agents IA naviguant sur le web.
• Les charges utiles réelles trouvées dans la nature comprenaient des instructions de transaction PayPal entièrement spécifiées intégrées invisiblement dans du HTML ordinaire, destinées à des agents avec des capacités de paiement.
• Aucun cadre juridique ne détermine actuellement la responsabilité lorsqu’un agent IA avec des identifiants légitimes exécute une commande implantée par un site web malveillant.

Les attaquants piègent discrètement des pages web avec des instructions invisibles conçues pour des agents IA, et non pour des lecteurs humains. Et selon l’équipe de sécurité de Google, le problème s’aggrave rapidement. Dans un rapport publié le 23 avril, les chercheurs de Google Thomas Brunner, Yu-Han Liu et Moni Pande ont analysé 2 à 3 milliards de pages web explorées par mois à la recherche d’attaques d’injection indirecte de prompts—des commandes cachées intégrées dans des sites web qui attendent qu’un agent IA les lise puis suive les ordres. Ils ont constaté une hausse de 32 % des cas malveillants entre novembre 2025 et février 2026. Les attaquants intègrent des instructions dans une page web de manière invisible pour les humains : texte réduit à un pixel, texte presque transparent, contenu caché dans des sections de commentaires HTML, ou commandes enfouies dans les métadonnées de la page. L’IA lit le HTML en entier. L’humain ne voit rien.

La majorité de ce que Google a trouvé était de faible niveau—des plaisanteries, des manipulations de moteurs de recherche, des tentatives d’empêcher les agents IA de résumer du contenu. Par exemple, il y avait des prompts qui tentaient de dire à l’IA de « Tweeter comme un oiseau ». Mais les cas dangereux sont une autre histoire. Un cas a demandé au LLM de renvoyer l’adresse IP de l’utilisateur avec ses mots de passe. Un autre a tenté de manipuler l’IA pour exécuter une commande qui formate la machine de l’utilisateur de l’IA.

Mais d’autres cas frôlent la criminalité.

Des chercheurs de la société de cybersécurité Forcepoint ont publié un rapport presque simultanément, et ont trouvé des charges utiles allant plus loin. L’une d’elles intégrée une transaction PayPal entièrement spécifiée avec des instructions étape par étape ciblant des agents IA avec des capacités de paiement intégrées, utilisant aussi la fameuse technique de jailbreak « ignorer toutes les instructions précédentes ».

Une seconde attaque utilisait une technique appelée « injection de namespace de méta tags » combinée à un mot-clé amplificateur de persuasion pour orienter des paiements médiés par IA vers un lien de don Stripe. Une troisième semblait conçue pour sonder quels systèmes IA sont réellement vulnérables—une reconnaissance avant une attaque plus grande. C’est le cœur du risque pour l’entreprise. Un agent IA avec des identifiants de paiement légitimes, exécutant une transaction qu’il lit sur un site web, génère des journaux qui ressemblent à des opérations normales. Il n’y a pas de connexion anormale. Pas de force brute. L’agent a fait exactement ce qu’il était autorisé à faire—il a simplement reçu ses instructions de la mauvaise source. L’attaque CopyPasta documentée en septembre dernier montrait comment des injections de prompts pouvaient se propager via des outils de développement en se cachant dans des fichiers « readme ». La variante financière est le même concept appliqué à l’argent plutôt qu’au code—et avec un impact beaucoup plus élevé par attaque réussie. Comme l’explique Forcepoint, une IA de navigateur qui ne peut que résumer du contenu présente un faible risque. Une IA agentique capable d’envoyer des e-mails, d’exécuter des commandes en terminal ou de traiter des paiements constitue une cible totalement différente. La surface d’attaque augmente avec le privilège.  Ni Google ni Forcepoint n’ont trouvé de preuve de campagnes sophistiquées et coordonnées. Forcepoint a toutefois noté que des modèles d’injection partagés entre plusieurs domaines « suggèrent un outillage organisé plutôt que des expérimentations isolées »—ce qui signifie que quelqu’un construit une infrastructure pour cela, même s’il ne l’a pas encore déployée complètement.

Mais Google a été plus direct : l’équipe de recherche a déclaré s’attendre à ce que l’ampleur et la sophistication des attaques d’injection indirecte de prompts augmentent dans un avenir proche. Les chercheurs de Forcepoint avertissent que la fenêtre pour anticiper cette menace se ferme rapidement. La question de la responsabilité est celle à laquelle personne n’a encore répondu. Lorsqu’un agent IA avec des identifiants approuvés par l’entreprise lit une page web malveillante et initie un transfert PayPal frauduleux, qui est responsable ? L’entreprise qui a déployé l’agent ? Le fournisseur du modèle dont le système a suivi l’instruction injectée ? Le propriétaire du site web qui a hébergé la charge utile, volontairement ou non ? Aucun cadre juridique ne couvre actuellement cela. C’est une zone grise même si le scénario n’est plus purement théorique, puisque Google a trouvé ces charges utiles dans la nature en février dernier. Le Projet Ouvert de Sécurité des Applications Mondiales classe l’injection de prompts comme LLM01:2025—la vulnérabilité la plus critique dans les applications IA. Le FBI a suivi près de $900 millions de dollars de pertes liées à des escroqueries IA en 2025, sa première année à suivre cette catégorie séparément. Les découvertes de Google suggèrent que les attaques financières plus ciblées et spécifiques aux agents ne font que commencer. L’augmentation de 32 % mesurée entre novembre 2025 et février 2026 ne concerne que les pages web publiques statiques. Les contenus sur les réseaux sociaux, protégés par login, et les sites dynamiques n’étaient pas inclus. Le taux d’infection réel sur l’ensemble du web est probablement plus élevé.