4 septembre 2025 – Une nouvelle menace se pointe sur X, la plateforme sociale d’Elon Musk : des cybercriminels détournent l’IA intégrée, Grok, afin de propager des liens malveillants via des publicités promues, en dehors des contrôles standards de la plateforme. Cette technique, baptisée Grokking, a été mise en lumière par Nati Tal, responsable de Guardio Labs.The Hacker News
1. Comment fonctionne la méthode “Grokking” ?
Affichage de baits visuels
Les attaquants créent des publicités Promoted Posts contenant des vidéos aux allures innocentes — souvent à connotation adulte — afin d’attirer l’attention, tout en respectant les formats autorisés (texte, image, vidéo). Le vrai lien malveillant est dissimulé dans le champ “From:” sous le lecteur vidéo, un emplacement ignoré par les filtres de la plateforme.The Hacker NewsBleepingComputerManipulation de Grok
En réponse au post, les attaquants mentionnent Grok avec des requêtes comme « où cette vidéo est-elle basée ? », incitant l’IA à révéler le lien caché. Le bot, en tant que compte officiel, fournit alors le lien malveillant de manière visible.The Hacker NewsBleepingComputerAmplification organique et SEO
Grâce à des impressions massives (100 000 à 5 millions), le lien devient viral. De plus, le fait que Grok l’ait diffusé renforce la crédibilité du lien, améliorant son indexation SEO et son réputation de domaine.NotebookcheckBleepingComputer
2. Pourquoi Grok est-il une arme offensive ?
Confiance système : les utilisateurs font davantage confiance à un lien partagé par Grok, perçu comme vérifié par l’IA de la plateforme.
Contournement des filtres : les protections anti-malware n’analysent pas le champ “From:”, créant une faille d’inspection.
Portée décuplée : l’attaque s’appuie sur la mécanique de promotion payante et sur l’engagement, rendant l’impact particulièrement large.
Exploitation multiple : les liens peuvent mener à des sites de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank, des malwares, ou des faux captchas destinés à voler des données.NotebookcheckBleepingComputer
3. Tableau synthétique de l’attaque
| Étape | Description |
|---|---|
| 1. Publication promue | Vidéo avec “bait” + lien caché dans metadata |
| 2. Invocation Grok | L’IA est mentionnée dans un commentaire, elle révèle le lien |
| 3. Diffusion virale | Grâce à la promotion payante et au compte Grok |
| 4. Renforcement SEO | Valorisation du domaine via IA et visibilité massive |
4. Recommandations pour limiter cette menace
Analyser les métadonnées invisibles
Activer des filtres pour inspecter tous les champs, y compris “From:”, dans les contenus Promoted Posts.Restreindre la capacité de Grok à extraire les liens
Ne pas autoriser l’IA à répondre à des requêtes qui demandent l’origine ou la provenance de contenu promu.Détection comportementale
Surveiller les publicités promues générant des impressions inhabituelles via des interactions IA.Vérification manualisée pour les posts Groklee
Tout lien relayé par Grok sous une publicité virale doit faire l’objet d’un contrôle avant diffusion.Sensibilisation des utilisateurs
Inciter à la prudence même lorsque la source semble légitime — y compris sous les réponses d’une IA officielle.
5. Conclusion
La technique Grokking démontre avec force que les outils d’IA, lorsqu’ils sont intégrés à des plateformes à fort reach, peuvent devenir des vecteurs de malveillance redoutablement efficaces. Il est impératif que les concepteurs d’IA et les équipes de sécurité sociale anticipent ces modes d’abus, en développant des mécanismes de contrôle contextuels et dynamiques.