La récente attaque de la chaîne d'approvisionnement impliquant Mercor et la vulnérabilité LiteLLM constitue un signal d'alarme majeur pour les équipes de sécurité des entreprises. Alors que l'industrie de la sécurité a passé la dernière année à se focaliser sur les injections de prompt et les jailbreaks de modèles, cette violation met en lumière une vulnérabilité bien plus systémique.
Le maillon faible de l'IA d'entreprise n'est pas nécessairement le modèle lui-même. C'est le middleware qui connecte les modèles à vos données.
Alors que les organisations se précipitent pour adopter l'IA, elles s'appuient fortement sur des proxys, des passerelles et des serveurs de protocole de contexte de modèle (MCP) pour acheminer le trafic entre leurs systèmes internes propriétaires et les grands modèles de langage (LLM) externes. Ces points d'intégration constituent la "couche d'action agentique". Lorsqu'une passerelle API comme LiteLLM est compromise, les attaquants obtiennent les clés du royaume, contournant entièrement le modèle pour accéder aux flux de données brutes qui circulent en dessous.
L'anatomie d'une attaque de la chaîne d'approvisionnement de l'IA.
Des outils comme LiteLLM sont incroyablement populaires car ils résolvent un véritable problème d'ingénierie. Ils agissent comme un proxy universel, permettant aux développeurs de standardiser les appels API auprès de dizaines de fournisseurs de LLM différents (tels qu'OpenAI, Anthropic et Google) en utilisant un format unique et unifié.
Cependant, cela crée un point d'étranglement centralisé et très sensible. Si un attaquant compromet ce middleware, il n'a pas besoin de tromper le modèle d'IA avec un prompt astucieux. Au lieu de cela, il obtient un accès direct aux clés API, aux prompts non chiffrés contenant des données propriétaires et aux réponses brutes du modèle. L'attaquant peut intercepter, exfiltrer ou manipuler les données en transit.
C'est la dure réalité de l'ère agentique. La chaîne d'approvisionnement de l'IA est fondamentalement une chaîne d'approvisionnement d'API.
L'angle mort : Pourquoi les outils hérités échouent ici.
Lorsqu'un proxy tiers ou un serveur MCP est compromis, le mouvement latéral qui en résulte est entièrement de machine à machine.
Comme souligné dans le nouveau rapport 1H 2026 State of AI and API Security Report, les organisations sont totalement impréparées à ce changement architectural :
- 60.2% des organisations admettent un manque profond de contrôle sur la sécurité des modèles d'IA qui pilotent leurs applications.
- 48.9% sont essentiellement aveugles au trafic non humain, de machine à machine.
Lorsqu'un attaquant détourne un proxy d'IA légitime, les pare-feu d'applications web (WAF) hérités et les passerelles API standard échouent complètement. Ces outils sont conçus pour inspecter le trafic externe entrant provenant d'utilisateurs humains. Ils sont architecturalement aveugles aux identités de machines internes communiquant avec des points de terminaison LLM externes.
Pour un WAF hérité, un serveur LiteLLM compromis exfiltrant des données ressemble exactement à une charge de travail d'IA légitime exécutant une tâche planifiée.
Sécuriser le middleware avec la plateforme de sécurité Agentic de Salt
Pour se défendre contre ces attaques de chaîne d'approvisionnement de nouvelle génération, les organisations doivent sécuriser la Couche d'action Agentic. Vous ne pouvez pas sécuriser une infrastructure que vous ne voyez pas, et vous ne pouvez pas vous fier à des signatures statiques pour détecter les identités de machines compromises agissant de manière malveillante.
La plateforme de sécurité Agentic de Salt neutralise ces violations de proxy grâce à deux capacités spécialement conçues :
1. Gestion de la posture de sécurité Agentic (AG-SPM) et le graphe de sécurité. Pour éviter que des middlewares vulnérables n'exposent votre entreprise, vous devez d'abord le cartographier. Salt construit un Graphe de sécurité Agentic qui cartographie en continu les relations multiples entre les LLM, les proxys externes, les serveurs MCP et les API fondamentales. En scannant les dépôts et les environnements d'exécution, Salt identifie les intégrations LLM tierces risquées et découvre l'infrastructure "Shadow AI". Si les développeurs déploient un proxy LLM non autorisé ou vulnérable, AG-SPM le signale avant qu'il ne puisse être exploité par un attaquant.
2. Détection et réponse Agentic (AG-DR) via l'analyse d'intention. Même avec une posture parfaite, des vulnérabilités de chaîne d'approvisionnement zero-day se produiront. Lorsque le middleware est compromis, les équipes de sécurité doivent détecter instantanément les comportements anormaux. Salt AG-DR établit des bases de référence sensibles aux agents pour toute la connectivité LLM. Il effectue une analyse d'intention sensible à l'identité, corrélant 100 % du trafic à l'identité de machine spécifique (dans ce cas, le proxy LiteLLM).
Si ce proxy commence soudainement à acheminer du trafic vers une adresse IP externe non autorisée ou à exécuter des extractions massives de données qui sortent de son comportement attendu, Salt reconnaît la "Séquence d'intention" malveillante. La plateforme interrompt immédiatement l'attaque à la vitesse de la machine et déclenche automatiquement des actions de blocage, arrêtant l'exfiltration de données dans son élan.
Le point à retenir
L'incident Mercor et LiteLLM n'est pas un cas isolé ; c'est un aperçu du nouveau manuel de l'attaquant. Sécuriser l'innovation en IA exige plus que la simple désinfection des invites. Cela nécessite une visibilité absolue et un contrôle comportemental sur la chaîne d'approvisionnement des API qui connecte vos données aux modèles.
Si vous souhaitez en savoir plus sur Salt et comment nous pouvons vous aider, veuillez nous contacter, demander une démo, ou consulter notre site web. Vous pouvez également obtenir une évaluation gratuite de la surface d'attaque API de l'équipe de recherche de Salt Security et découvrir ce que les attaquants savent déjà.
