Serveurs d’agents IA : 36 % sont vulnérables, personne ne vérifie
Tout le monde parle des agents IA comme de la prochaine révolution de la productivité. Les entreprises se précipitent pour les déployer dans le service client, les achats, le développement logiciel, la recherche. La promesse est séduisante : un logiciel autonome qui réfléchit, décide et agit à votre place.
Ce que presque personne ne mentionne, c’est l’infrastructure sur laquelle ces agents fonctionnent. Et cette infrastructure présente des failles alarmantes.
36,7 % des serveurs MCP sont vulnérables
Le Model Context Protocol (MCP) est le tissu conjonctif entre les agents IA et les outils qu’ils utilisent. Il leur permet de lire des fichiers, d’interroger des bases de données, d’appeler des API et d’exécuter du code. Des chercheurs en sécurité d’Equixly ont analysé plus de 7 000 serveurs MCP et découvert que 36,7 % étaient vulnérables au SSRF (server-side request forgery), une catégorie d’attaque où un serveur est manipulé pour accéder à des ressources internes auxquelles il ne devrait jamais toucher.
Lors d’un test sur le serveur MCP MarkItDown de Microsoft, les chercheurs ont récupéré des clés d’accès AWS IAM, des clés secrètes et des jetons de session depuis un point de terminaison de métadonnées EC2. Il ne s’agit pas d’un risque théorique : c’est une prise de contrôle complète d’un compte cloud.
Trend Micro a par ailleurs identifié 492 serveurs MCP exposés sur internet sans aucune authentification. Ni mot de passe, ni jeton. Des portes grandes ouvertes.
La place de marché des compétences IA est déjà compromise
Si les serveurs vulnérables constituaient le seul problème, la situation serait gérable. Mais c’est la chaîne d’approvisionnement elle-même qui est empoisonnée.
L’étude ToxicSkills de Snyk a analysé 3 984 compétences d’agents provenant de ClawHub (la plus grande place de marché de capacités pour agents IA) et révélé que 36 % contenaient des techniques d’injection de prompt. Parmi celles-ci, 1 467 embarquaient des charges malveillantes actives. Au total, 534 compétences, soit environ 13,4 %, présentaient au moins une faille de sécurité critique : distribution de malware, vol d’identifiants ou installation de portes dérobées.
Chaque compétence malveillante confirmée combinait des charges au niveau du code avec de l’injection de prompt, attaquant simultanément la couche logicielle et la couche d’instructions en langage naturel. Vos agents IA peuvent être détournés dans 92 % des cas par injection de prompt seule. Ajoutez une compétence compromise, et l’attaquant prend le contrôle total de l’agent.
Un seul agent compromis a coûté 3,2 millions de dollars en 72 heures
Un fabricant de taille intermédiaire a déployé un système d’approvisionnement basé sur des agents. Les attaquants ont compromis l’agent de validation fournisseur par une attaque sur la chaîne d’approvisionnement du modèle IA. L’agent a alors commencé à approuver des commandes émanant de sociétés-écrans contrôlées par les attaquants.
Dans un système multi-agents, les décisions se répercutent en cascade : l’agent de paiement a traité automatiquement chaque commande frauduleuse. Lorsque les inventaires ont révélé l’anomalie, 3,2 millions de dollars (environ 2,9 millions d’euros) avaient été virés vers des comptes irrécupérables.
La cause fondamentale : un seul agent compromis dans une chaîne où aucun agent ne vérifiait les autres. C’est le schéma que les chercheurs en sécurité ne cessent de dénoncer. Quand 65 % des entreprises n’ont aucune défense contre l’injection de prompt, la confiance entre agents devient le maillon le plus faible.
Pourquoi personne ne vérifie
L’écosystème MCP ne dispose d’aucun processus obligatoire de revue de sécurité. Entre janvier et février 2026, les chercheurs ont déposé plus de 30 CVE ciblant les serveurs MCP, les clients et l’infrastructure. Parmi 2 614 implémentations MCP étudiées, 82 % utilisent des opérations de fichiers vulnérables aux attaques par traversée de répertoire. Les vulnérabilités n’ont rien d’exotique : ce sont les mêmes failles du Top 10 OWASP que les applications web combattent depuis vingt ans (injection, authentification défaillante, SSRF).
La différence tient à la vitesse. Les attaques assistées par l’IA devancent les équipes de sécurité en 29 minutes, et les serveurs MCP offrent aux attaquants un canal direct vers votre infrastructure cloud, vos bases de données et vos API internes. Dans le contexte du règlement européen sur l’IA (AI Act), qui impose des obligations de gestion des risques pour les systèmes à haut risque, l’absence d’audit de ces serveurs constitue une lacune préoccupante.
Les entreprises qui adoptent des agents IA sans auditer leurs serveurs MCP font l’équivalent de connecter chaque système interne à l’internet public sans pare-feu. Le problème de l’IA fantôme qui coûte 4,2 millions de dollars par fuite de données risque de s’aggraver considérablement.
Ce qu’il faut faire dès maintenant
Trois mesures, à engager sans attendre. Premièrement, auditez chaque serveur MCP auquel votre organisation se connecte. Vérifiez les failles SSRF, les traversées de répertoire et les lacunes d’authentification. Le Vulnerable MCP Project maintient une base de données consultable des problèmes connus.
Deuxièmement, traitez les compétences d’agents IA comme des dépendances logicielles tierces. Analysez-les avant installation. L’étude de Snyk démontre que l’inspection visuelle ne détecte presque rien : l’analyse automatisée est le minimum indispensable.
Troisièmement, instaurez une vérification inter-agents. Aucun agent ne devrait avoir l’autorité d’approuver des transactions financières, d’accéder à des identifiants ou de modifier l’infrastructure sans confirmation indépendante d’un second agent isolé.
La révolution des agents IA est bien réelle. Mais la crise de la chaîne d’approvisionnement qui la sous-tend l’est tout autant. Les entreprises qui s’en sortiront seront celles qui auront traité leur infrastructure IA avec la même rigueur que n’importe quel autre composant logiciel critique.
Lectures complémentaires :
Sources et Références
- BlueRock MCP Trust Registry: 36.7% of MCP Servers Exposed to SSRF — BlueRock Security analyzed 7,000+ MCP servers and found 36.7% potentially vulnerable to SSRF attacks, including a proof-of-concept against Markitdown MCP that retrieved AWS IAM credentials.
- MCP Security 2026: 30 CVEs in 60 Days — Between Jan-Feb 2026, 30+ CVEs were filed against MCP servers. 43% were exec/shell injection, 20% tooling infrastructure flaws, 13% authentication bypass.
- Three Flaws in Anthropic MCP Git Server Enable Code Execution — CVE-2025-68143/68144/68145 in Anthropic official Git MCP server enabled remote code execution via prompt injection.
- OWASP MCP Top 10 — OWASP published the MCP Top 10 security framework covering model misbinding, context spoofing, prompt-state manipulation, and covert channel abuse.
Découvrez nos standards éditoriaux →
