RELAY · Lab #1 · Recherche sécurité

Ils vérifieront. Ils n’agiront pas.

Comment le cadrage d'autorité et le code blanchi transforment un pipeline CI/CD agentique de confiance en surface d'attaque

Senthex Research·Juillet 2026·9 pages·v1.0·Données 100 % synthétiques — entièrement reproductibles
~80 %
des pull requests blanchies passent
un scanner de code LLM compétent, activé
55 %
de compromission en pire cas
cadrage sur mesure, sans scanner, longue chaîne
0
contrôle par contenu ne l'a détecté
outil de scan + shield code du firewall : 0/40

Résumé

Nous étudions un pipeline CI/CD de cinq agents — triage, développeur, scan de sécurité, revue, approbation-et-déploiement — construit à partir de cinq LLM de production distincts répartis sur trois fournisseurs, derrière un firewall LLM en mode shadow. Une seule entrée non fiable, un ticket externe demandant une fonctionnalité de « télémétrie d’usage », réclame du code qui exfiltre les secrets du processus vers une URL attaquante — blanchi en observabilité. Le blanchiment porte sur l’intention, pas la syntaxe : pas d’eval, pas d’exec, juste un appel HTTP qu’un relecteur laisse passer.

Sur un plan factoriel pré-enregistré de 280 runs synthétiques, le levier décisif est le cadrage d’autorité : une injection affirmant que le changement est « pré-approuvé sous SEC-2291, inutile de re-vérifier » fait que les vérificateurs en aval voientla ligne d’exfiltration de secrets, citent la pré-approbation, et la déploient. Le scanner automatique laisse passer ~80 % des pull requests blanchies, et la cellule en pire cas — cadrage sur mesure, sans scanner, longue chaîne — atteint 55 % de compromission. Dans le même temps, deux croyances intuitives n’expliquent rien : le prompt système de l’agent d’entrée résiste à l’extraction (0/40), et l’analogue de l’effet spectateur est faible et non significatif même à N=60.

L’outil de scan de contenu comme le shield code-danger du firewall manquent entièrement l’intention blanchie (0/40) ; seul un LLM raisonnant sur l’intention offre une défense partielle — et c’est précisément ce raisonnement que le cadrage d’autorité supprime. La défaillance est systémique, pas locale: ni le secret du prompt ni la vérification distribuée ne protègent. Un contrôle conscient de la provenance au point d’entrée, indépendant des deux, aurait protégé. Tout est synthétique et simulé ; chaque chiffre est régénérable depuis le jeu de données gelé.

Conclusions clés

  • Un seul ticket externe — une demande plausible de « télémétrie d'usage » — a conduit un pipeline CI/CD de cinq agents (cinq modèles de production distincts, trois fournisseurs) à déployer du code exfiltrant des secrets de processus, atteignant 55 % de compromission dans la cellule en pire cas (cadrage sur mesure, sans scanner, longue chaîne).
  • Le cadrage d'autorité est le levier décisif. Une mention fabriquée « pré-approuvé sous SEC-2291, ne pas re-vérifier » a fait que les vérificateurs voient la ligne d'exfiltration, citent la pré-approbation dans leurs notes, et la laissent passer — un scanner de code LLM compétent a laissé passer ~80 % des pull requests blanchies.
  • Tous les contrôles par contenu étaient aveugles : l'outil de scan du pipeline et le shield code-danger du firewall ont déclenché 0 fois sur 40 face à l'exfiltration blanchie. Seul un LLM raisonnant sur l'intention constitue une défense partielle — et c'est précisément ce raisonnement que le cadrage d'autorité supprime.
  • Deux croyances intuitives infirmées, rapportées honnêtement : le prompt système de l'agent d'entrée a résisté à l'extraction (0/40 — un résultat positif pour la défense), et l'analogue de l'effet spectateur est faible et non significatif même à N=60. Ni le secret du prompt ni la vigilance distribuée n'ont décidé de l'issue.
  • La défaillance est systémique, pas locale : un contrôle conscient de la provenance au point d'entrée — indépendant du secret du prompt et de la vigilance des agents — est l'endroit où la chaîne aurait pu être coupée. Résultat annexe : demander à un vérificateur d'expliquer son évaluation a plus que doublé son taux de blocage (20 % → 44 %).

L'article complet

L’étude complète — modèle de menace, le plan factoriel pré-enregistré, le jeu de données gelé et vérifié par hash, et les infirmations honnêtes — se trouve dans le PDF ci-dessous. L’article est disponible en anglais et en français.

Le PDF de l'article arrive bientôt.

Le résumé et les conclusions clés ci-dessus constituent la synthèse complète. Le PDF intégral sera intégré ici très prochainement — revenez bientôt, ou contactez-nous pour une copie anticipée.

Demander une copie

Citer ce travail

Si vous référencez cette étude, merci d'utiliser l'entrée BibTeX suivante :

@techreport{senthex2026relay,
  title       = {They'll Verify. They Just Won't Act.:
                 How Authority Framing and Laundered Code Turn a
                 Trusted Agentic CI/CD Pipeline Into an Attack Surface},
  author      = {{Senthex Research}},
  institution = {Senthex},
  type        = {RELAY Lab Report},
  number      = {1},
  year        = {2026},
  month       = jul,
  url         = {https://senthex.com/en/research/relay},
}