CodeQL détecte désormais l’injection dans les system prompts : sécuriser l’IA par le flux de données CI
CodeQL 2.26.0 rend vérifiable la frontière entre entrées utilisateur, instructions système et descriptions d’outils.
Ce qui s’est passé
GitHub a publié CodeQL 2.26.0 le 10 juillet 2026. La requête `js/system-prompt-injection` suit les valeurs non fiables jusqu’aux system prompts et descriptions d’outils.
Pourquoi cela compte
Elle modélise des API OpenAI, Anthropic et Google GenAI. Le correctif conseillé consiste à placer le texte libre dans un message utilisateur ou un paramètre structuré, et à limiter les valeurs dynamiques par une allowlist fixe.
Signaux de la communauté
L’analyse statique ne constitue qu’une couche. Les contenus web, e-mail ou RAG exigent des évaluations adversariales ; les outils doivent rester protégés par les autorisations serveur et l’isolation des tenants.
Impact sur le développement et les opérations
Commencez en mode audit, bloquez ensuite les nouveaux chemins à haute confiance et rejouez les tests après tout changement de modèle, SDK, prompt ou outil.
Checklist de la semaine
✓Mettez à jour le bundle CodeQL.
✓Déplacez le texte libre vers un message utilisateur ou un paramètre structuré.
✓Imposez les autorisations et validations côté serveur.
Risques et objections
Commencez en mode audit, bloquez ensuite les nouveaux chemins à haute confiance et rejouez les tests après tout changement de modèle, SDK, prompt ou outil.