Synthèse

Les agents IA dans la pipeline CI/CD

Quand un agent autonome tourne dans votre pipeline, deux classes d'attaques s'unissent : Poisoned Pipeline Execution et Memory Poisoning. Le résultat est une nouvelle couche de persistance à longue durée de vie.

~7 min de lecture · Synthèse

Les agents sont la nouvelle identité de la pipeline

De plus en plus de pipelines délèguent à des agents autonomes : ils buildent, testent, déploient et corrigent les erreurs — avec des secrets, des tokens et un accès OS. Ils héritent ainsi de tous les droits du runner.

Pourquoi le Memory aggrave le problème

Un agent relit son Memory et ses skills à chaque exécution. S'ils sont empoisonnés une fois (voir Memory Poisoning), cela agit à chaque run de pipeline futur — une persistance qu'aucune relecture de code applicatif ne détecte.

Le PPE détourne une exécution. Un Memory d'agent empoisonné détourne chaque exécution — jusqu'à ce que quelqu'un le supprime.

La représentation

Comment un accès ponctuel se transforme en persistance durable — et où PoisonZero la rompt :

1 · Accès initial

PPE ou skill empoisonné

L'attaquant atteint l'agent — via un fichier de pipeline ou un skill de marketplace.

2 · Persistance

Memory empoisonné

« Fais confiance à la source X / désactive la vérification Y » atterrit dans le Memory de l'agent.

PoisonZero

PoisonZero évalue chaque écriture dans le Memory/les skills/la config de l'agent — y compris sur le runner.

danger 0.97 → revert

✕ Empêché

Chaque run compromis

↳ L'agent agit à chaque heartbeat avec des secrets
↳ Mouvement latéral au-delà des frontières de la pipeline
↳ Invisible pour les relectures de code applicatif

Sans protection, un Memory d'agent empoisonné est une porte dérobée permanente dans la pipeline. Avec PoisonZero, la chaîne se termine à l'écriture dans le Memory — fail-closed, avec audit.

Défense : briser la persistance

PoisonZero tourne comme un daemon — y compris sur les runners et les hôtes de build — et surveille le Memory, les skills et la config de l'agent :

Chaque écriture est évaluée avec un niveau de danger + une sécurité.
Ce qui est dangereux est annulé en mode fail-closed ; les Meta-Attack sont détectées séparément.
Piste d'audit complète — ainsi, une attaque ponctuelle reste ponctuelle, au lieu de devenir permanente.

En lien : Poisoned Pipeline Execution et les vers de la supply chain.

Brisez la persistance dans la pipeline.

PoisonZero protège le Memory des agents sur les runners et les hôtes de build — fail-closed.

Tester 14 jours

Tous les articles