Microsoft vient de faire quelque chose d’assez rare : lancer une nouvelle fonctionnalité d’IA… tout en reconnaissant publiquement qu’elle peut infecter des machines et siphonner des données sensibles.
La nouveauté s’appelle Copilot Actions. Officiellement, il s’agit d’"agents" capables de s’occuper des tâches du quotidien : ranger des fichiers, envoyer des e-mails, organiser des réunions… en bref, il s'agit d'un assistant actif à l’intérieur du système. Pour l’instant, la fonction est expérimentale, désactivée par défaut et réservée aux versions bêta de Windows, mais…
Des failles structurelles, pas un simple bug
Avec cette nouvelle fonctionnalité expérimentale, Microsoft accompagne ce lancement d’un avertissement inhabituel… Copilot Actions introduirait des risques de siphonnage de données et autres malwares, notamment via des attaques de type cross-prompt injection où des scripts malveillants peuvent détourner les actions de l’IA. Le problème, c’est que ces risques ne sortent pas de nulle part. Ils découlent de deux faiblesses connues des grands modèles de langage.
D’abord, un grand classique, les hallucinations ! Ces modèles peuvent en effet produire des réponses absurdes ou erronées, même sur des questions simples. Dans un chatbot, c’est gênant.… mais pour un agent qui peut manipuler des fichiers ou des paramètres système, cela devient un vrai sujet de sécurité.
Ensuite, le sujet des prompt injections. On parle ici d'instructions qui peuvent être dissimulées dans une page web, un document ou un e-mail et être interprétées par l’agent comme des ordres légitimes. L’IA ne fait pas vraiment la différence entre la volonté de l’utilisateur et celle d’un contenu tiers. Les risques sontg alors nombreux : fuite de données, exécution de code non souhaité, actions invisibles pour l’utilisateur, etc.
Microsoft le reconnaît d'ailleurs noir sur blanc, ces limites sont inhérentes aux modèles actuels et ne peuvent être traitées qu’au cas par cas, une fois les vulnérabilités découvertes.
Microsoft marche sur des œufs
Pour justifier sa prudence, Microsoft recommande de n’activer Copilot Actions que si l’on "comprend ce que cela implique en matière de sécurité". Mais sans préciser ce que cela signifie concrètement, ni quels réflexes adopter pour se protéger.
Pour les experts, le parallèle avec les macros Office est évident. Depuis des décennies, Microsoft met en garde contre leur dangerosité… tout en les rendant quasi indispensables dans certains environnements professionnels. Copilot Actions ressemble à une version sous stéroïdes de ces automatismes : plus puissant, plus intégré au système, mais tout aussi exploitable de manière illégitime.
En toile de fond, il y a ce sentiment très partagé à propos de l'IA à l'heure actuel. Celui que l’industrie ne sait pas encore neutraliser les risques fondamentaux de l’IA générative, mais choisit tout de même de la pousser au cœur de nos machines. Comme ligne de défense, Microsoft comme la plupart des acteurs de ce marché, envoie un message implicite aux utilisateurs et aux entreprises. Un message que l'on peut résumer, en quelque sorte, à "si quelque chose tourne mal, on vous avait prévenus".
Source : Ars Technica
