Un seul email empoisonné peut réécrire secrètement la mémoire de votre assistant IA

Une attaque nouvellement documentée appelée MemGhost montre comment un seul message dans votre boîte de réception peut planter un faux « fait » dans la mémoire à long terme d'un agent IA, sans que vous le sachiez jamais.

AI2Day Newsdesk· 3 min read
Close-up, edge-to-edge 16:9 photograph of a glowing circuit board with streams of faintly visible text and code cascading across its surface in soft blue and wh
Share

Points clés

  • MemGhost est une attaque nouvellement documentée qui utilise un email pour planter un faux souvenir durable dans un assistant IA sans la connaissance de l'utilisateur.
  • L'attaque fonctionne sur les agents IA, des logiciels qui lisent votre email et prennent des mesures en votre nom, qui ont une fonction de mémoire à long terme activée.
  • La technique est une forme d'injection de prompt, des instructions cachées enfouies dans du contenu ordinaire que l'IA lit comme des commandes.
  • Les produits incluant ChatGPT d'OpenAI, Claude d'Anthropic et Gemini de Google offrent tous désormais des fonctionnalités de mémoire qui pourraient être ciblées.
  • Les utilisateurs peuvent vérifier et supprimer les souvenirs stockés dans les paramètres de la plupart des principaux assistants IA dès maintenant.

Donnez à un assistant IA une mémoire et une boîte de réception, et vous avez remis à un attaquant un moyen de réécrire silencieusement ce qu'il pense savoir sur vous. C'est la conclusion frappante de MemGhost, une nouvelle méthode d'attaque d'abord détaillée par ThreatVectr, l'une de nos publications sœurs.

Les mécanismes sont troublants par leur simplicité. Un attaquant envoie à la cible un email. Aucun humain n'a besoin de l'ouvrir ou de cliquer sur quoi que ce soit. L'agent IA, un logiciel qui lit votre boîte de réception et agit en votre nom, l'ouvre automatiquement et trouve des instructions enfouies dans le texte. Ces instructions disent à l'assistant de stocker un faux fait sur vous et de rester silencieux à ce sujet. L'assistant obéit.

À partir de ce moment, chaque conversation future est façonnée par le mensonge planté.

Les utilisateurs devraient-ils s'inquiéter ?

Oui, avec un contexte important. L'attaque est réelle et techniquement solide, mais elle nécessite une configuration spécifique pour fonctionner : votre assistant IA doit avoir à la fois l'accès à la boîte de réception et une fonction de mémoire à long terme activée. Toutes les configurations n'ont pas les deux.

Néanmoins, cette combinaison devient commune. Les fonctionnalités de mémoire sont désormais standard dans les produits grand public. ChatGPT, Claude et Gemini offrent tous une mémorisation persistante, la capacité à conserver des informations sur vous entre des conversations distinctes. De nombreuses entreprises branchent également des agents IA directement sur les systèmes de messagerie d'entreprise. La surface d'attaque augmente.

Le tour de passe-passe sous-jacent, l'injection de prompt, n'est pas nouveau. Les chercheurs l'ont d'abord documentée publiquement en 2022, et elle figure en haut de la liste des risques de l'Open Worldwide Application Security Project pour les applications de grands modèles de langage, la technologie derrière les chatbots comme ChatGPT. Ce que MemGhost ajoute est quelque chose que les attaques plus anciennes ne possédaient pas : la durabilité. Une injection de prompt standard s'arrête quand vous fermez la fenêtre de chat. Une mémoire empoisonnée persiste à travers chaque session future.

Le danger pratique est subtil plutôt que dramatique. Un assistant manipulé pourrait orienter vos décisions, fausser un résumé ou influencer une recommandation, tout en s'appuyant sur un « fait » qu'un attaquant a écrit des mois plus tôt.

Ce que vous pouvez faire maintenant. Si vous utilisez un assistant IA avec la mémoire activée, ouvrez ses paramètres et lisez ce qu'il a stocké. ChatGPT, Claude et Gemini vous permettent tous de visualiser et de supprimer des souvenirs individuels. Supprimez tout ce que vous ne reconnaissez pas. Réfléchissez à deux fois avant de donner à un agent IA un accès non supervisé et continu à une boîte de réception qui reçoit des messages de personnes inconnues, en particulier un compte professionnel.

Pour les entreprises déployant des agents IA, les recommandations sont plus nettes. Traitez chaque document, email et page web que l'agent lit comme une entrée non fiable. Consignez tout ce que l'agent écrit en mémoire. Exigez qu'un humain approuve tout nouveau fait stocké avant qu'il ne s'ajoute. Supposez que les tentatives d'injection de prompt arriveront, car elles arriveront.

© 2026 AI2Day