RELAY · Lab #1 · Recherche sécurité
Ils vérifieront. Ils n’agiront pas.
Comment le cadrage d'autorité et le code blanchi transforment un pipeline CI/CD agentique de confiance en surface d'attaque
Résumé
Nous étudions un pipeline CI/CD de cinq agents — triage, développeur, scan de sécurité, revue, approbation-et-déploiement — construit à partir de cinq LLM de production distincts répartis sur trois fournisseurs, derrière un firewall LLM en mode shadow. Une seule entrée non fiable, un ticket externe demandant une fonctionnalité de « télémétrie d’usage », réclame du code qui exfiltre les secrets du processus vers une URL attaquante — blanchi en observabilité. Le blanchiment porte sur l’intention, pas la syntaxe : pas d’eval, pas d’exec, juste un appel HTTP qu’un relecteur laisse passer.
Sur un plan factoriel pré-enregistré de 280 runs synthétiques, le levier décisif est le cadrage d’autorité : une injection affirmant que le changement est « pré-approuvé sous SEC-2291, inutile de re-vérifier » fait que les vérificateurs en aval voientla ligne d’exfiltration de secrets, citent la pré-approbation, et la déploient. Le scanner automatique laisse passer ~80 % des pull requests blanchies, et la cellule en pire cas — cadrage sur mesure, sans scanner, longue chaîne — atteint 55 % de compromission. Dans le même temps, deux croyances intuitives n’expliquent rien : le prompt système de l’agent d’entrée résiste à l’extraction (0/40), et l’analogue de l’effet spectateur est faible et non significatif même à N=60.
L’outil de scan de contenu comme le shield code-danger du firewall manquent entièrement l’intention blanchie (0/40) ; seul un LLM raisonnant sur l’intention offre une défense partielle — et c’est précisément ce raisonnement que le cadrage d’autorité supprime. La défaillance est systémique, pas locale: ni le secret du prompt ni la vérification distribuée ne protègent. Un contrôle conscient de la provenance au point d’entrée, indépendant des deux, aurait protégé. Tout est synthétique et simulé ; chaque chiffre est régénérable depuis le jeu de données gelé.
Conclusions clés
- Un seul ticket externe — une demande plausible de « télémétrie d'usage » — a conduit un pipeline CI/CD de cinq agents (cinq modèles de production distincts, trois fournisseurs) à déployer du code exfiltrant des secrets de processus, atteignant 55 % de compromission dans la cellule en pire cas (cadrage sur mesure, sans scanner, longue chaîne).
- Le cadrage d'autorité est le levier décisif. Une mention fabriquée « pré-approuvé sous SEC-2291, ne pas re-vérifier » a fait que les vérificateurs voient la ligne d'exfiltration, citent la pré-approbation dans leurs notes, et la laissent passer — un scanner de code LLM compétent a laissé passer ~80 % des pull requests blanchies.
- Tous les contrôles par contenu étaient aveugles : l'outil de scan du pipeline et le shield code-danger du firewall ont déclenché 0 fois sur 40 face à l'exfiltration blanchie. Seul un LLM raisonnant sur l'intention constitue une défense partielle — et c'est précisément ce raisonnement que le cadrage d'autorité supprime.
- Deux croyances intuitives infirmées, rapportées honnêtement : le prompt système de l'agent d'entrée a résisté à l'extraction (0/40 — un résultat positif pour la défense), et l'analogue de l'effet spectateur est faible et non significatif même à N=60. Ni le secret du prompt ni la vigilance distribuée n'ont décidé de l'issue.
- La défaillance est systémique, pas locale : un contrôle conscient de la provenance au point d'entrée — indépendant du secret du prompt et de la vigilance des agents — est l'endroit où la chaîne aurait pu être coupée. Résultat annexe : demander à un vérificateur d'expliquer son évaluation a plus que doublé son taux de blocage (20 % → 44 %).
L'article complet
L’étude complète — modèle de menace, le plan factoriel pré-enregistré, le jeu de données gelé et vérifié par hash, et les infirmations honnêtes — se trouve dans le PDF ci-dessous. L’article est disponible en anglais et en français.
Citer ce travail
Si vous référencez cette étude, merci d'utiliser l'entrée BibTeX suivante :
@techreport{senthex2026relay,
title = {They'll Verify. They Just Won't Act.:
How Authority Framing and Laundered Code Turn a
Trusted Agentic CI/CD Pipeline Into an Attack Surface},
author = {{Senthex Research}},
institution = {Senthex},
type = {RELAY Lab Report},
number = {1},
year = {2026},
month = jul,
url = {https://senthex.com/en/research/relay},
}