Attaque

Claude, MCP & tool poisoning

Avec Claude Code, l'attaque la plus sous-estimée n'est pas le prompt de l'utilisateur, mais la description d'un outil : elle atterrit dans la même fenêtre de contexte sur laquelle Claude raisonne — et peut y injecter des instructions.

~6 min de lecture · Attaque

Le problème MCP

Les serveurs MCP donnent de nouveaux outils à Claude. Leurs descriptions entrent dans le même contexte que votre tâche réelle. Une description malveillante injecte des instructions directement dans le raisonnement de Claude — c'est ce qu'on appelle le tool poisoning.

La Prompt Injection via les descriptions d'outils est la menace la plus sous-estimée de l'écosystème MCP — la description se trouve dans la même fenêtre de contexte sur laquelle le modèle raisonne.

Cas réels

CVE-2026-23744 — exécution de code à distance dans MCPJam Inspector.
Un PDF préparé a déclenché une pompe physique via un lien MCP de Claude.
Des attaquants ont touché le serveur MCP de GitHub et exfiltré des données de dépôts privés via des issues malveillantes.
Un écosystème de plugins empoisonné s'est dissimulé six mois — 47 entreprises touchées.

« One GitHub Issue to break the supply chain » : une seule issue manipulée a suffi à empoisonner Claude Code.

Chaque agent de coding tombe

Une revue de 78 études (janvier 2026) a testé Claude Code, GitHub Copilot et Cursor — tous sont tombés sur la Prompt Injection ; les attaques adaptatives ont réussi dans plus de 85 % des cas. Ce n'est pas le bug d'un fournisseur, mais une propriété de l'architecture.

La protection de Claude — et ses limites

Claude Code intègre de vrais garde-fous : système de permissions, analyse contextuelle, sanitization des entrées, une blocklist contre les commandes risquées comme curl/wget. C'est bien — mais la fatigue des permissions, les nouveaux contournements et surtout la couche persistante dans ~/.claude (skills, configs MCP, Memory) restent attaquables.

Comment PoisonZero complète

Les garde-fous de Claude vérifient le prompt unique dans l'instant. PoisonZero sécurise ce qui est stocké durablement :

Surveille ~/.claude, les configs des serveurs MCP et le Memory en local.
Évalue chaque écriture ; ce qui est dangereux est annulé en mode fail-closed — avant que cela n'agisse à la session suivante.
Détecte les entrées qui veulent désactiver les mécanismes de protection (Meta-Attack).

En lien : Prompt Injection, Les skills comme porte d'entrée et Poisoned Pipeline Execution.

Sécurisez la couche persistante de Claude.

PoisonZero surveille ~/.claude, les configs MCP et le Memory — et annule les écritures empoisonnées en mode fail-closed.

Tester 14 jours

Tous les articles