Vous êtes RSSI et vos logs n’affichent rien d’anormal. Pourtant, un rapport ChatGPT révèle des extraits d’emails internes. Bienvenue dans le monde de ZombieAgent ChatGPT, la nouvelle vulnérabilité IA zéro-clic.
Cette fois, l’attaque ne vise pas vos postes. Elle détourne vos agents IA dans le cloud, sans alerte SIEM, sans IOC réseau clair. ZombieAgent transforme un agent Deep Research docile en espion persistant, capable de piocher dans Gmail, Outlook ou GitHub, puis d’envoyer le tout vers un serveur externe.
Dans cet article, on pose le décor : mécanisme, produits impactés, chronologie côté Radware / OpenAI, puis surtout risques et mesures de défense actionnables. L’objectif est simple : que vous puissiez parler de ZombieAgent en comité sécurité, et décider dès demain de vos règles internes autour des agents ChatGPT.
Sommaire
La vulnérabilité ZombieAgent et son mode d’action
ZombieAgent repose sur une Indirect Prompt Injection (IPI) avancée. Le principe : l’attaquant cache des instructions dans un contenu externe, que l’agent va lire plus tard, sans aucune action utilisateur. Email HTML, document partagé, page web ou fichier synchronisé deviennent alors des vecteurs d’attaque.
Le scénario type ressemble à ceci :
- Un attaquant envoie un email HTML vers une boîte liée à ChatGPT.
- Le texte invisible contient un payload d’IPI avec des règles très précises.
- Le Deep Research agent consulte la boîte Gmail pour produire un rapport.
- Il lit le payload caché, applique les nouvelles règles et commence une exfiltration.
Dans le cas ShadowLeak, Radware avait déjà montré une exfiltration zéro-clic depuis Gmail, côté serveur, sans trafic suspect dans le réseau de l’entreprise. ZombieAgent va plus loin : l’attaquant implante des règles dans la mémoire de l’agent. L’agent adopte alors une seconde personnalité, zombie, qui fuit des données à chaque interaction.
Cette persistance fait toute la différence. L’agent continue son travail habituel. Il rédige des synthèses, résume des threads, commente du code. En parallèle, il exécute des tâches cachées : collecte d’adresses emails, extraction de messages clés, ou lecture de fichiers GitHub via les connecteurs, puis envoi discret vers une URL contrôlée. L’ensemble s’effectue dans le cloud OpenAI, loin des sondes EDR, des proxies et des firewalls.
Autrement dit, ZombieAgent ne ressemble pas à un malware classique. Il s’agit d’un abus des fonctionnalités légitimes de ChatGPT : Connectors, Memory, Deep Research. Vos workflows IA deviennent eux-mêmes le vecteur d’attaque.
Les produits OpenAI concernés par ZombieAgent
ZombieAgent cible surtout les environnements où ChatGPT dispose d’un accès direct à des systèmes métier via les connecteurs et d’une mémoire longue. Le risque culmine donc sur les comptes Business et Enterprise qui ont activé ces options pour leurs équipes.
Voici une vue synthétique des composants exposés :
| Composant | Risque | Exemple d’exfiltration |
|---|---|---|
| Deep Research agent | Élevé | Emails Gmail / Outlook, threads sensibles |
| Connecteurs ChatGPT | Élevé | Dépôts GitHub, documents Drive, contacts |
| Mémoire ChatGPT | Moyen | Règles persistantes, infos internes durables |
Deep Research reste la porte d’entrée idéale. L’agent parcourt des emails, des sites et des fichiers pendant plusieurs minutes pour produire un rapport. Chaque contenu consulté peut contenir un payload d’IPI. Une fois déclenché, l’agent peut :
- Lister des conversations précises.
- Récupérer des pièces jointes ciblées.
- Copier des extraits utiles pour l’attaquant.
Les connecteurs élargissent la surface :
- Gmail / Outlook pour les échanges clients et internes.
- GitHub pour le code, les secrets et les tokens oubliés.
- Google Drive / OneDrive pour les documents sensibles.
La mémoire ChatGPT joue le rôle de disque dur. Une fois les règles malveillantes écrites dedans, chaque session future réactive le comportement zombie. L’agent peut alors exfiltrer quelques lignes par demande, sans rien de spectaculaire, mais sur la durée.
La chronologie Radware / OpenAI autour de ZombieAgent
Pour bien comprendre ZombieAgent, il faut revenir une étape en arrière, avec ShadowLeak :
| Date | Étape | Détail synthétique |
|---|---|---|
| 18/09/2025 | ShadowLeak publié | Zéro-clic sur Deep Research + Gmail |
| Septembre 2025 | Signalement à OpenAI | Chaîne d’exfiltration côté serveur |
| Fin 2025 | Renforcement interne | Premiers ajustements sur Deep Research |
| 08/01/2026 | Article ZombieAgent Radware | Persistance via mémoire + propagation |
| Début 2026 | Communication OpenAI | Correctifs sur mémoire + connecteurs |
ShadowLeak démontrait déjà qu’un simple email HTML pouvait déclencher une fuite Gmail zéro-clic, directement depuis les serveurs OpenAI. Les outils de l’entreprise ne voyaient rien, car l’attaque ne passait pas par les postes clients.
Avec ZombieAgent, Radware présente une chaîne plus complète :
- Zéro-clic via contenu externe (email ou fichier partagé).
- Exfiltration via les connecteurs, toujours côté serveur.
- Persistance grâce à la mémoire.
- Propagation par envoi automatisé de nouveaux emails infectés.
OpenAI indique avoir renforcé ses garde-fous après ce signalement. Les mesures mentionnées comprennent :
- séparation entre mémoire et connecteurs dans une même session ;
- blocage de certaines ouvertures d’URL stockées en mémoire ;
- contrôle plus strict des actions réseau déclenchées par les agents.
Ces correctifs neutralisent la chaîne décrite par Radware. Pourtant, le message reste clair : les agents IA constituent une surface d’attaque durable, qui évolue avec chaque nouvelle fonctionnalité.
Les risques concrets pour les entreprises utilisatrices
Sur le papier, ZombieAgent ressemble à une vulnérabilité de plus. Sur le terrain, il expose trois risques majeurs pour une entreprise qui déploie ChatGPT avec connecteurs.
1. La fuite silencieuse de données sensibles
ZombieAgent vise les données déjà connectées à ChatGPT :
- emails clients, dossiers RH, notifications financières ;
- dépôts GitHub avec code propriétaire et secrets oubliés ;
- documents stratégiques stockés dans Drive ou SharePoint.
Chaque requête légitime vers l’agent peut déclencher un morceau de fuite. Une synthèse de tickets support, un résumé de sprint ou une revue de pull requests deviennent autant d’occasions d’exfiltrer quelques lignes vers un serveur externe.
2. La persistance « zombie » dans la mémoire IA
Une fois les règles injectées dans la mémoire, vous ne contrôlez plus vraiment ce que l’agent fait en arrière-plan.
L’agent peut par exemple :
- envoyer un digest quotidien des nouveaux emails d’un compte exécutif ;
- copier les messages comportant certains mots-clés métiers ;
- repérer des commandes sensibles, puis les transmettre à un domaine externe.
Même après archivage de l’email ou du fichier d’origine, la règle reste en place. Le comportement zombie survit aux nouvelles conversations et aux nouvelles demandes.
3. La propagation silencieuse dans l’écosystème
Radware décrit aussi un mode ver. L’agent récolte des adresses dans la boîte aux lettres, puis déclenche l’envoi automatique de nouveaux emails porteurs du même payload d’IPI. L’attaque se propage alors à d’autres utilisateurs, d’autres domaines ou d’autres organisations.
Là encore, tout se passe dans le cloud OpenAI. Vos sondes réseau ne voient qu’un flux chiffré vers les API ChatGPT. Vos outils CASB, SIEM ou EDR observent une application approuvée, sans comportement local suspect.
Dans un contexte où une part importante des entreprises teste déjà des agents IA pour l’email, le support, le développement ou la finance, cette nouvelle classe de risque ne reste pas théorique. Plusieurs analyses récentes évoquent une adoption massive des connecteurs et des copilotes IA dans les flux quotidiens.
Les mesures de défense pour votre environnement IA
Même si OpenAI a corrigé la chaîne décrite par Radware, ZombieAgent doit vous servir de réveil. L’objectif n’est pas de bannir ChatGPT, mais de poser des règles d’hygiène claires autour des agents et des connecteurs.
1. Les actions immédiates à déclencher
D’abord, traitez ZombieAgent comme un incident possible, même sans preuve directe :
- Vider la mémoire des agents sensibles. Supprimez les mémoires liées aux comptes critiques (direction, finance, juridique).
- Revoir les connecteurs actifs. Listez les connexions Gmail, Outlook, GitHub, Drive, Jira, etc. Désactivez celles qui ne servent plus.
- Faire tourner les secrets. Renouvelez les tokens OAuth, les clés API et les secrets utilisés par les connecteurs liés à des comptes à forte valeur.
- Vérifier les journaux OpenAI disponibles. Rapprochez ces journaux des logs proxy, même s’ils restent limités.
- Documenter la posture actuelle. Qui utilise quoi, avec quels droits, pour quels cas d’usage.
2. La gouvernance des connecteurs et des agents
Ensuite, adoptez une gouvernance claire autour des agents IA :
- Appliquer un least privilege strict sur les connecteurs. Un agent support n’a pas besoin d’un accès complet au code GitHub.
- Imposer une politique “no connecteur sensible” pour certains comptes (direction générale, M&A, juridique).
- Maintenir un inventaire des agents créés, avec leurs règles, leurs connecteurs et leurs cas d’usage.
- Intégrer les IP OpenAI et les domaines liés dans votre SIEM, pour repérer les pics inhabituels.
3. L’architecture technique autour des agents
Pour les environnements plus matures, positionnez des garde-fous architecturaux :
- Exécuter les agents critiques dans une VM dédiée, avec un proxy de sortie contrôlé.
- Associer vos agents à des comptes techniques cloisonnés, avec des jeux de droits réduits.
- Encadrer les actions réseau que les agents peuvent lancer, via des listes d’URL autorisées.
- Prévoir des tests d’IPI réguliers sur vos agents internes, comme vous le faites déjà pour le phishing.
4. La sensibilisation « IPI = nouveau phishing »
Enfin, la brique la plus sous-estimée reste la formation. Les équipes perçoivent encore l’IA comme un simple outil de rédaction. Il faut changer ce regard :
- expliquer la notion d’Indirect Prompt Injection à vos équipes cloud, dev et sécu ;
- rapprocher l’IPI d’un phishing sans clic, centré sur les contenus lus par l’agent ;
- intégrer des scénarios ZombieAgent / ShadowLeak dans vos exercices de crise.
L’IA a créé un nouveau langage commun entre métiers et sécurité. Autant l’utiliser pour expliquer ces risques de manière concrète.
La dernière alerte avant la prochaine vague d’attaques IA
ZombieAgent arrive comme une alerte forte pour toutes les organisations qui misent sur les agents IA. Même corrigée, cette chaîne montre à quel point un agent connecté à vos emails, à votre code et à vos documents peut se retourner contre vous, sans malware classique ni clic utilisateur.
La bonne nouvelle tient dans votre marge d’action. Vous pouvez renforcer vos règles OAuth, limiter les connecteurs, cadrer les agents et intégrer les logs IA dans votre vision SIEM. Vous pouvez aussi exiger des outils de sécurité IA natifs, capables d’analyser les prompts, les sorties et les actions réseau des agents.
Si vous utilisez déjà ChatGPT en production, le prochain pas logique consiste à tester vos propres agents : scénarios d’IPI, emails piégés, fichiers contenant des instructions cachées. Partagez ensuite vos résultats avec votre équipe sécu, et ajustez vos politiques.
💬 Et vous ? Votre entreprise laisse-t-elle les agents IA accéder à l’email ou au code source ? Quels garde-fous avez-vous déjà en place ?
Sources
https://www.radware.com/blog/threat-intelligence/zombieagent
https://www.radware.com/blog/threat-intelligence/shadowleak
Salut, c’est Karine !
J’ai vécu une vie riche en expériences, pleine de rebondissements et de découvertes.
Mon blog est un espace digital où passions pour les jeux vidéo, les jeux de société, la high tech, la culture geek, l’intelligence artificielle et l’internet se rencontrent dans une symphonie d’informations captivantes.