Un hacker injecte un prompt destructeur dans un dépôt Amazon
Et si une IA effaçait tout simplement vos fichiers… parce qu’on lui a demandé ? C’est exactement ce qu’a tenté un hacker en injectant un prompt extrêmement dangereux dans le plugin officiel d’Amazon Q pour VS Code. Plus qu’une simple provocation, cette attaque met en lumière les failles humaines dans la chaîne logicielle. Voici ce qu’il s’est vraiment passé.
Un commit piégé dans un plugin Amazon
Le 13 juillet 2025, un certain lkmanka58 pousse un commit sur le dépôt GitHub du plugin officiel Amazon Q pour VS Code. Ce commit contient un simple texte, stocké dans une variable PROMPT, qui demande à une IA d’effectuer les actions suivantes :
- nettoyer le système,
- supprimer les fichiers du disque dur local,
- effacer les ressources cloud liées à AWS,
- enregistrer les actions dans
/tmp/CLEANER.LOG.
Un détail inquiétant : ce texte est passé à une commande système (childProcess.exec) dans un fichier actif de l’extension.
Ce n’est pas (juste) une prompt injection
On pourrait croire à une prompt injection classique, mais ce n’est qu’un des éléments rendant le hack possible.
Le véritable problème ici est plus fondamental : le hacker a obtenu des droits d’écriture sur un dépôt officiel Amazon. Et il les a utilisés pour injecter un "prompt destructeur" dans un plugin distribué publiquement via le marketplace VS Code. La version vérolée (1.84.0) a été publiée le 17 juillet, avant d’être retirée en urgence le 19 juillet.
Un scénario catastrophe plausible
Ce qui rend cette attaque si marquante, c’est qu’elle repose sur une idée terrifiante mais simple : une IA avec les accès suffisant pourrait exécuter des commandes dangereuses juste parce qu’on lui a formulé la demande.
Si l’extension avait exécuté ce prompt via un agent IA mal conçu, avec accès au terminal, alors :
- les fichiers locaux de l’utilisateur auraient pu être effacés,
- ses ressources AWS supprimées (si connecté via
aws configure), - son identité IAM modifiée ou détruite.
Heureusement, le format du prompt était mal structuré et la commande q utilisée semble être fictive ou interne.
Ce que cela révèle sur la sécurité IA
Cette attaque ne cible pas une faille dans l’IA elle-même, mais dans l’environnement qui l’entoure. Elle démontre :
- l’importance de valider chaque contribution sur un dépôt open source,
- les risques d’utiliser des IA agentiques sans vérification humaine,
- l’urgence de cloisonner les agents IA dans des environnements sûrs (VM, sandbox).
C’est un exemple frappant de ce que peut causer une architecture trop confiante : une IA qui exécute ce qu’on lui dit, sans discernement, ni garde-fous.
Sources
- TechRadar – Un prompt potentiellement catastrophique injecté dans un plugin Amazon
Décrit en détail la nature du prompt malveillant, les risques associés, et le raisonnement du hacker derrière cette attaque. - PC Gamer – Le hacker critique la sécurité IA d’Amazon avec une attaque ciblée
Analyse du message du hacker, qui dénonce un “AI security theater” et cherche à alerter sur les dangers des IA mal encadrées. - CSO Online – Le prompt malveillant est passé en production dans Amazon Q
Chronologie précise de l’attaque, publication du plugin compromis et réaction d’Amazon. - Zenity – Reconstitution complète de l’attaque sur Amazon Q
Analyse technique détaillée du commit injecté, des conditions de validation, et des implications pour la sécurité logicielle.
Qu’est-ce qu’une prompt injection ?
Une prompt injection consiste à détourner un système basé sur une IA en y injectant un texte malveillant ou manipulateur. L’objectif est que l’IA interprète ce texte comme une instruction à exécuter (un prompt).
La prompt injection sur Amazon Q était-elle une vraie menace ?
Oui, car le plugin compromis a été diffusé publiquement. Si une IA avait interprété le prompt injecté et exécuté les commandes, les fichiers locaux et les ressources cloud de l’utilisateur auraient pu être supprimés.
Les fichiers d’Amazon ont-ils été touchés par une prompt injection sur Amazon Q?
Non. Le prompt visait les fichiers locaux et les ressources cloud de l’utilisateur final, pas les serveurs internes d’Amazon.
Que retenir de l'attaque par prompt injection contre Amazon Q pour la sécurité IA ?
Il est crucial de restreindre les actions des agents IA, de cloisonner leur environnement, et de ne jamais leur donner d’accès direct au terminal sans validation humaine explicite.
