MICROSOFT GOVERNANCE LAYER FOR AI AGENTS

The Problem
Your AI agents call tools, browse the web, query databases, and delegate to other agents. Once deployed, they make decisions autonomously. You need answers to three questions:
 
1. Is this action allowed? An agent with access to send_email and query_database should not be able to drop_table. OAuth scopes and IAM roles control which services an agent can reach, not what it does once connected.
 
2. Which agent did this? In a multi-agent system, five agents might share a single API key. When something goes wrong, "an agent did it" is not an incident response.
 
3. Can you prove what happened? Auditors and regulators need tamper-evident records of every decision: what policy was active, what the agent requested, and why it was allowed or denied.

AGT does not try to win that fight inside the prompt. Every tool call, message send, and delegation is intercepted in deterministic application code before the model's intent reaches the wire. Actions the AGT kernel denies are not "unlikely." They are structurally impossible. That is the difference between asking an agent to behave and making it incapable of misbehaving.

A single character injected into the HTTP Host header bypasses path-based authorization in Starlette, the routing core of FastAPI,” researchers from Secwest wrote. “Through FastAPI, this primitive (now tracked as CVE-2026-48710 and branded BadHost by the discoverers) reaches a large segment of the Python AI tooling ecosystem: vLLM (where the bug was discovered), LiteLLM, Text Generation Inference, most OpenAI-shim proxies, MCP servers, agent harnesses, eval dashboards, and model-management UIs.

This project is not meant to be used by any “AI” coding agents at all.
 
In order to discourage agents from using jqwik there is a change to what jqwik emits at runtime. Each invocation of the test engine prepends the following line to stdout

MDASH : l’IA de Microsoft plus efficace que Claude Mythos pour trouver des failles
 
Pour évaluer précisément les capacités de découverte de MDASH, Microsoft l'a fait travailler sur l'analyse de StorageDrive, un pilote de périphérique privé utilisé en interne lors des entretiens de recrutement de ses chercheurs en sécurité offensive. Ce code n'ayant jamais été publié, aucun modèle d'IA n'avait pu s'entraîner dessus.
 
Le système MDASH a réussi à identifier les 21 vulnérabilités injectées (erreurs de verrouillage, corruptions de mémoire de type use-after-free, etc.), le tout avec un taux de zéro faux positif. Par ailleurs, il a obtenu un score de 88,45 % de réussite sur le benchmark public CyberGym (qui comporte 1 507 tâches de reproduction de vulnérabilités réelles), s'emparant de la première place du classement général avec près de cinq points d'avance sur le second (83,1 %).
 
Ici, Microsoft montre que sur les tests effectués, son système est plus performant que Claude Mythos Preview d'Anthropic.

Une orchestration multi-modèles : MDASH combine plusieurs modèles IA utilisés de manière complémentaire selon leurs points forts respectifs. Les divergences d’analyse entre modèles deviennent elles-mêmes des signaux utiles pour renforcer ou invalider certains résultats et réduire les faux positifs. Les modèles les plus avancés sont mobilisés pour les analyses complexes, tandis que les modèles plus légers prennent en charge certaines tâches de validation et d’automatisation à grande échelle.  

Des pirates ont réussi à prendre la main sur des comptes Instagram d’autres utilisateurs en exploitant une faille de sécurité d’un robot d’assistance de Meta. L’information, révélée et expliquée lundi 1er juin par le site spécialisé américain 404 Media, a aussi été confirmée par divers experts en cybersécurité, comme Brian Krebs (KrebsOnSecurity).

Parmi eux, l’ancien compte de la présidence de Barack Obama, @obamawhitehouse, qui archive les posts diffusés par la Maison Blanche quand le démocrate était président en exercice. Il a brièvement diffusé des contenus affirmant que les « chiites avaient pris le contrôle de la Maison Blanche », selon le média américain TMZ. Le compte Instagram officiel du sergent-chef des forces spatiales américaines, John Bentivegna, a diffusé des messages favorables à l’Iran au même moment, rapporte CNN.

Pour prendre le contrôle des comptes Instagram, les pirates ont simplement prétendu auprès du chatbot en être les propriétaires et avoir perdu les informations de connexion. Au fil de la conversation, ils sont parvenus à ce que le robot remplace les courriels associés aux comptes Instagram visés par ceux fournis par les hackeurs. Ce qui leur permettait, ensuite, de changer le mot de passe sans vérification supplémentaire de la part de Meta.
 
« Le support de Meta AI est fondamentalement nul et dispose de nombreuses autorisations d’accès [à des comptes ] qui permettent de réinitialiser des mots de passe de n’importe quel utilisateur sans [double authentification] ni vérifier qui vous êtes », a résumé, sur X, le compte de ZachXBT, analyste reconnu en cybersécurité.

Le chercheur en sécurité indépendant Ammar Askar a mis en ligne avant-hier une preuve de concept complète visant GitHub.dev. Il suffit que la victime clique sur un lien pour que VS Code charge un notebook Jupyter malveillant, installe une extension piégée sans avertissement visible, puis transmette le jeton OAuth de session à l’attaquant.Microsoft a appliqué un correctif provisoire hier. GitHub n’a attribué aucun identifiant CVE à ce jour. VS Code Desktop n’est pas concerné, selon Alexandru Dima, responsable ingénierie chez Microsoft.

En attendant un correctif définitif, les développeurs ont intérêt à supprimer les données locales de github.dev dans leur navigateur et à vérifier le dossier .vscode/extensions avant d'ouvrir un dépôt inconnu dans l’éditeur en ligne. Il vaut aussi la peine d’auditer les autorisations des jetons d’accès personnels dans les paramètres GitHub.

While Microsoft quickly rolled out Claude Fable 5 to its GitHub Copilot and Foundry customers, I’m told the model isn’t available in the model picker that Microsoft employees use for internal versions of GitHub Copilot. All other Claude models are still available internally at Microsoft, because they operate under Zero Data Retention (ZDR) rules.
 
I understand that Microsoft has been telling employees that its legal teams are evaluating changes to Anthropic’s data retention requirements. I’m told that the main concerns are around customer data and confidential information, and that it’s not yet clear whether Microsoft’s legal teams will clear Claude Fable for internal use.

Malware onering (v1.4.1). Détection d'un paquet empoisonné exécutant un script malveillant via build.rs lors de la compilation. Le malware exécute automatiquement un git diff du dernier commit et transmet le code source vers un endpoint Sentry tiers.

In the last few weeks npm, PyPI, and GitHub got most of the attention with a wave of supply chain compromises. This week it is Rust's turn.

The latest version added a build.rs file that quietly harvests git data from whatever project is building the crate and ships it to a remote server, including the actual source code of your most recent commit.
The problem is not limited to the package published on crates.io. The maintainer's GitHub repository also appears to be compromised, so pulling the crate from git rather than the registry does not make you safe. We immediately alerted the maintainer

SkillSpector
Security scanner for AI agent skills. Detect vulnerabilities, malicious patterns, and security risks before installing agent skills.
 
Overview
AI agent skills (used by Claude Code, Codex CLI, Gemini CLI, etc.) execute with implicit trust and minimal vetting. Research shows that 26.1% of skills contain vulnerabilities and 5.2% show likely malicious intent.
 
SkillSpector helps you answer: "Is this skill safe to install?"

Non-English content: May miss patterns in other languages
Image-based attacks: Cannot analyze text in images
Encrypted/binary code: Cannot analyze compiled or encrypted content Runtime behavior: Static analysis only, no dynamic execution