CodeQL détecte désormais l’injection dans les system prompts : sécuriser l’IA par le flux de données CI

Tech

CodeQL 2.26.0 rend vérifiable la frontière entre entrées utilisateur, instructions système et descriptions d’outils.

CodeQL 2.26.0 rend vérifiable la frontière entre entrées utilisateur, instructions système et descriptions d’outils.
L’analyse statique ne constitue qu’une couche. Les contenus web, e-mail ou RAG exigent des évaluations adversariales ; les outils doivent rester protégés par les autorisations serveur et l’isolation des tenants.

Ce qui s’est passé

GitHub a publié CodeQL 2.26.0 le 10 juillet 2026. La requête `js/system-prompt-injection` suit les valeurs non fiables jusqu’aux system prompts et descriptions d’outils.

Pourquoi cela compte

Elle modélise des API OpenAI, Anthropic et Google GenAI. Le correctif conseillé consiste à placer le texte libre dans un message utilisateur ou un paramètre structuré, et à limiter les valeurs dynamiques par une allowlist fixe.

Signaux de la communauté

L’analyse statique ne constitue qu’une couche. Les contenus web, e-mail ou RAG exigent des évaluations adversariales ; les outils doivent rester protégés par les autorisations serveur et l’isolation des tenants.

Impact sur le développement et les opérations

Commencez en mode audit, bloquez ensuite les nouveaux chemins à haute confiance et rejouez les tests après tout changement de modèle, SDK, prompt ou outil.

Checklist de la semaine

Mettez à jour le bundle CodeQL.

Déplacez le texte libre vers un message utilisateur ou un paramètre structuré.

Imposez les autorisations et validations côté serveur.

Risques et objections

Commencez en mode audit, bloquez ensuite les nouveaux chemins à haute confiance et rejouez les tests après tout changement de modèle, SDK, prompt ou outil.

Sources