Les chatbots AI avec navigation web peuvent être détournés comme relais de malwares, selon une démonstration de Check Point Research. Au lieu de contacter un serveur de commande traditionnel, un malware peut utiliser l’option de récupération d’URL d’un chatbot pour tirer des instructions d’une page malveillante et ensuite ramener la réponse à la machine infectée.
Dans de nombreux environnements, le trafic vers les destinations majeures d’IA est déjà considéré comme routinier, ce qui permet à la commande et au contrôle de s’intégrer dans une utilisation normale du web. Ce même chemin peut également être utilisé pour extraire des données.
Microsoft a abordé ce sujet dans une déclaration, le présentant comme un problème de communications post-compromission. Il a indiqué qu’une fois un appareil compromis, les attaquants tenteront d’exploiter tous les services disponibles, y compris ceux basés sur l’IA. Il a aussi recommandé des mesures de défense en profondeur pour prévenir les infections et limiter les conséquences suivantes.
La démonstration transforme la conversation en relais
Le concept est simple. Le malware incite l’interface web de l’IA à charger une URL, à résumer ce qu’elle trouve, puis à extraire le texte retourné pour en déceler une instruction intégrée.
Check Point a testé cette technique contre Grok et Microsoft Copilot à travers leurs interfaces web. Un détail important est l’accès, le flux étant conçu pour éviter les API de développement. Dans les scénarios testés, il peut fonctionner sans clé API, réduisant ainsi les frictions liées à l’utilisation abusive.
Pour le vol de données, le mécanisme peut fonctionner à l’envers. Une méthode décrite consiste à placer des données dans des paramètres de requête d’URL, puis de s’appuyer sur la requête déclenchée par l’IA pour les livrer à l’infrastructure de l’adversaire. Un codage de base peut davantage obscurcir ce qui est envoyé, rendant le filtrage de contenu simple moins fiable.
Pourquoi c’est plus difficile à détecter
Ceci n’est pas une nouvelle classe de malware. C’est un modèle de commande et de contrôle familier enveloppé dans un service que de nombreuses entreprises activent activement. Si les services d’IA avec navigation sont laissés ouverts par défaut, un système infecté peut tenter de se cacher derrière des domaines à faible risque.
Check Point souligne également à quel point cette infrastructure est courante. Son exemple utilise WebView2 comme composant de navigateur intégré sur les machines Windows modernes. Dans le flux de travail décrit, un programme recueille des détails de base sur l’hôte, ouvre une vue web cachée vers un service d’IA, déclenche une requête d’URL, puis analyse la réponse pour extraire la prochaine commande. Cela peut ressembler à un comportement normal d’application, sans signal évident.
Ce que les équipes de sécurité doivent faire
Traitez les chatbots activés par le web comme n’importe quelle autre application cloud de haute confiance qui peut être abusée après compromission. Si cela est autorisé, surveillez les modèles d’automatisation, les chargements répétitifs d’URL, un rythme de requêtes étrange, ou des volumes de trafic qui ne correspondent pas à une utilisation humaine.
Les fonctionnalités de navigation AI peuvent être réservées aux appareils gérés et à des rôles spécifiques, et non à chaque machine. La question ouverte est l’échelle, il s’agit d’une démonstration et cela ne quantifie pas les taux de succès contre des flottes renforcées. Ce qu’il faut surveiller ensuite, c’est si les fournisseurs ajoutent une détection d’automatisation plus robuste dans la discussion web, et si les défenseurs commencent à considérer les destinations IA comme d’éventuels canaux post-compromission.