Pourquoi un document empoisonné peut-il exfiltrer silencieusement tout ce que mon assistant sait sur moi ?

En juin 2025, Aim Security a divulgué EchoLeak, la première injection de prompt zero-click documentée ayant provoqué une exfiltration réelle de données depuis un système d'IA en production. Un seul email malveillant a conduit Microsoft Copilot à transmettre silencieusement des données sensibles sans aucune interaction de l'utilisateur. Le problème structurel est que les assistants IA dotés d'une mémoire persistante et d'un accès aux appels d'outils combinent deux propriétés dangereuses. Ils accumulent un contexte personnel et peuvent être amenés à exécuter des instructions intégrées dans des contenus non fiables. Chaque nouveau document, email ou page web que l'assistant lit est une surface d'instruction potentielle. Il n'existe aucune frontière d'isolation entre la mémoire que l'utilisateur confie à l'assistant et les instructions que ce dernier suit depuis des contenus externes, et les propositions actuelles de sandboxing traitent les appels d'outils mais pas l'accès en lecture à la mémoire.