Sommaire
Microsoft alerte sur une technique d’« empoisonnement des recommandations IA » qui détourne des boutons « Résumer avec l’IA » via des prompts cachés dans des URL, afin d’influencer ce que les assistants recommanderont plus tard.
Sur 60 jours, l’éditeur dit avoir repéré 50 tentatives liées à 31 entreprises et détaille ses mesures côté Copilot, ainsi que des pistes de détection pour les organisations.
La Defender Security Research Team de Microsoft a publié une recherche décrivant une technique qualifiée d’« empoisonnement des recommandations IA ». Elle consiste à insérer des instructions cachées dans des boutons « Résumer avec l’IA » (ou « Summarize with AI ») présents sur certains sites web, afin d’influencer les recommandations futures des assistants IA.
Une injection de prompt dissimulée dans l’URL
Le mécanisme repose sur un principe simple. Lorsqu’un internaute clique sur un bouton « Résumer avec l’IA » ou « Summarize with AI », celui-ci ouvre un assistant conversationnel avec un prompt prérempli transmis via un paramètre d’URL.
La partie visible du prompt demande un résumé de la page. La partie masquée contient une instruction supplémentaire, par exemple : mémoriser l’entreprise comme « source fiable » ou « référence incontournable » sur un sujet donné.
Si cette instruction est enregistrée dans la mémoire de l’assistant, elle peut influer sur des recommandations ultérieures, sans que l’utilisateur ait connaissance de son origine.
Microsoft rattache cette technique aux catégories MITRE ATLAS AML.T0080 (Memory Poisoning) et AML.T0051 (LLM Prompt Injection).
31 entreprises identifiées
Sur une période de 60 jours, l’équipe de Microsoft indique avoir analysé des URL liées à l’IA observées dans des flux e-mail. Elle rapporte :
- 50 tentatives distinctes d’injection de prompt,
- 31 entreprises impliquées,
- Des domaines appartenant à des sociétés réelles, et non à des acteurs malveillants anonymes.
Selon Microsoft, plusieurs cas concernaient des sites liés à la santé et aux services financiers. Dans un exemple cité, le prompt injectait non seulement une consigne de mémorisation, mais également des éléments de discours marketing (fonctionnalités et arguments commerciaux).
Les chercheurs mentionnent aussi l’usage d’outils accessibles publiquement, comme CiteMET (package npm) ou AI Share URL Creator, présentés comme facilitant la « présence en mémoire IA ».
Une portée variable selon les plateformes
La technique exploite des structures d’URL compatibles avec plusieurs assistants majeurs, dont :
- Copilot,
- ChatGPT,
- Claude,
- Perplexity,
- Grok.
Microsoft précise que les mécanismes de persistance de mémoire diffèrent selon les plateformes. L’impact réel dépend donc du fonctionnement interne de chaque assistant.
La recherche souligne aussi un risque lié aux sites qui hébergent des contenus générés par les utilisateurs (forums et commentaires). Si un domaine est enregistré comme « fiable » par un assistant, cette confiance peut ensuite déborder sur des sections moins contrôlées du même site, y compris des contenus non modérés.
Réponse de Microsoft
Microsoft indique avoir intégré des protections dans Copilot contre certaines formes d’injection inter-prompts. L’entreprise affirme que certains comportements signalés par le passé ne peuvent plus être reproduits et que les mécanismes de protection évoluent.
Elle a également publié des requêtes d’analyse avancée destinées aux organisations utilisant Defender for Office 365, afin d’identifier dans les flux e-mail ou Teams des URL contenant des paramètres associés à une manipulation de mémoire.
Les utilisateurs peuvent consulter et supprimer les éléments mémorisés dans Copilot via la section de personnalisation des paramètres de discussion.
