Agents IA et GitHub Actions : comment éviter le vol de credentials dans vos pipelines CI/CD

Des agents IA populaires compromis via GitHub Actions

En avril 2026, des chercheurs de l'université Johns Hopkins ont révélé avoir réussi à détourner trois agents IA largement utilisés dans les pipelines CI/CD : Claude Code Security Review d'Anthropic, Gemini CLI Action de Google, et GitHub Copilot de Microsoft. La technique employée repose sur une nouvelle variante d'injection de prompt permettant d'exfiltrer des clés API et des tokens d'accès directement depuis les workflows GitHub Actions.

Les trois éditeurs ont versé des bug bounties aux chercheurs — mais sans attribuer de CVE ni publier d'avis de sécurité publics. Résultat : des utilisateurs restent potentiellement exposés sans le savoir, épinglés sur des versions vulnérables. Comme le souligne le chercheur Aonan Guan dans son interview accordée à The Register : "c'est un problème".

Cet incident illustre une réalité que tout équipe développant avec des agents IA doit intégrer : un agent branché sur votre dépôt GitHub, c'est un vecteur d'attaque potentiel. Voici une checklist opérationnelle pour durcir vos pipelines dès aujourd'hui.

Comprendre le vecteur d'attaque

Le principe de l'attaque est relativement simple à comprendre, même si son exploitation demande de la finesse :

1. Un agent IA est configuré pour lire et analyser du contenu provenant du dépôt (PR, issues, fichiers de code, logs…).
2. Un attaquant insère une instruction malveillante dans ce contenu (par exemple dans le corps d'une pull request ou un commentaire d'issue).
3. L'agent, en traitant ce contenu, exécute l'instruction comme si elle venait d'un utilisateur légitime.
4. L'instruction ordonne à l'agent d'exfiltrer des secrets présents dans l'environnement d'exécution (tokens, clés API, variables d'environnement).

Le problème fondamental : les agents IA ne distinguent pas nativement le contenu de confiance du contenu non fiable. Tout texte traité peut potentiellement influencer le comportement de l'agent.

Checklist opérationnelle : durcir vos pipelines CI/CD

🔍 1. Inventorier toutes les actions appelant des agents IA

Avant de corriger quoi que ce soit, il faut savoir ce qu'on expose.

• Auditez tous vos fichiers .github/workflows/*.yml pour identifier les actions faisant appel à des agents IA (Claude, Gemini, Copilot, ChatGPT…).
• Documentez pour chaque action : quels secrets elle consomme, quels contenus externes elle ingère, quels outputs elle produit.
• Appliquez le principe du moindre privilège : si une action n'a pas besoin d'un secret, retirez-le de sa portée.

🔐 2. Limiter drastiquement les scopes des tokens

Les tokens GitHub (GITHUB_TOKEN ou PAT) ont souvent des permissions bien trop larges par défaut.

# Dans votre workflow, restreignez explicitement les permissions
permissions:
  contents: read       # Lecture seule sur le code
  pull-requests: read  # Lecture seule sur les PRs
  # Ne jamais mettre 'write-all' si ce n'est pas nécessaire

• Utilisez des tokens à durée de vie courte (tokens OIDC plutôt que PAT long terme).
• N'accordez jamais write sur contents ou secrets à un workflow qui n'en a pas absolument besoin.
• Pour les intégrations tierces, créez des tokens dédiés avec un scope minimal.

🚫 3. Ne jamais injecter directement du contenu utilisateur dans les prompts

C'est la règle d'or pour contrer les attaques par injection de prompt.

# ❌ Dangereux : contenu d'une PR injecté directement dans le prompt
- name: Analyze PR
  run: |
    echo "Analyse cette PR : ${{ github.event.pull_request.body }}" | claude-cli

# ✅ Sûr : traitement séparé, contenu isolé
- name: Analyze PR safely
  run: |
    PR_BODY=$(cat pr_body.txt)
    claude-cli --input-file pr_body.txt --no-inline-prompt

• Traitez le contenu externe comme une donnée, jamais comme une instruction.
• Utilisez des APIs avec séparation explicite system prompt / user content / data.
• Validez et sanitizez tout contenu provenant de sources externes avant de le passer à un agent.

🏃 4. Utiliser des runners isolés et éphémères

Si un agent est compromis, il ne doit pas pouvoir se latéraliser ou persister.

• Privilégiez les runners GitHub hébergés (ephemeral par nature) plutôt que des self-hosted runners persistants pour les workflows intégrant des agents IA.
• Si vous utilisez des self-hosted runners, assurez-vous qu'ils sont détruits et recréés à chaque job.
• Isolez les workflows sensibles dans des environnements GitHub dédiés avec approbation manuelle pour les déploiements en production.

🔄 5. Automatiser la rotation des secrets

Même avec toutes les précautions, un secret peut fuiter. La rotation régulière limite l'impact.

• Mettez en place une rotation automatique de vos clés API et tokens (AWS Secrets Manager, HashiCorp Vault, Doppler…).
• Configurez des alertes sur l'utilisation anormale des credentials (appels depuis des IPs inconnues, volume inhabituel…).
• Stockez tous vos secrets dans le vault GitHub Actions (Settings > Secrets) et non en dur dans le code ou les fichiers de configuration.

🔎 6. Ajouter des scanners CI détectant les patterns d'exfiltration

Intégrez des outils de détection dans votre pipeline :

• TruffleHog ou Gitleaks pour détecter les secrets exposés dans le code ou les logs.
• Des règles de détection sur les patterns caractéristiques d'exfiltration dans les outputs des agents (URLs suspectes, encodage base64 inattendu, appels réseau non planifiés).
• Activez l'audit log GitHub et configurez des alertes sur les accès anormaux aux secrets.

- name: Scan for secrets
  uses: trufflesecurity/trufflehog@main
  with:
    path: ./
    base: ${{ github.event.repository.default_branch }}
    head: HEAD

Conclusion : l'IA dans vos pipelines, oui — mais avec une posture de sécurité claire

L'intégration d'agents IA dans les workflows de développement apporte une valeur réelle : revue de code automatisée, détection de vulnérabilités, génération de documentation. Mais comme tout outil puissant, elle élargit la surface d'attaque si elle est mal configurée.

L'incident révélé par les chercheurs de Johns Hopkins — et le fait que les éditeurs n'aient pas publié d'avis publics — rappelle qu'il ne faut pas attendre les notifications des fournisseurs pour agir. La responsabilité de la sécurité de votre pipeline vous appartient.

Commencez par l'inventaire, appliquez les principes du moindre privilège, et traitez systématiquement tout contenu externe comme non fiable. Ces six points de la checklist constituent un socle solide pour intégrer des agents IA sans transformer votre CI/CD en porte d'entrée pour les attaquants.

📰 Source : The Register — Agents hooked into GitHub can steal creds (Jessica Lyons, 15 avril 2026)