Le PDG de CertiK met en garde contre les risques de sécurité des Agents d'IA alors que leur déploiement dépasse les mesures d'isolation

L'avertissement concernant les risques de sécurité des agents d'IA se précise — et devient plus urgent. Ronghui Gu, co-fondateur et PDG de CertiK, affirme que la précipitation à déployer des agents d'IA autonomes dans les applications, les réseaux et les systèmes financiers va plus vite que les contrôles de sécurité de base nécessaires pour les contenir.

C'est important car ces systèmes ne se limitent plus à répondre à des invites dans une fenêtre de chat. Gu affirme qu'ils sont de plus en plus autorisés à lire des fichiers locaux, appeler des outils externes, déclencher des workflows et interagir avec des comptes sensibles. En pratique, cela signifie qu'un agent compromis n'est pas simplement un assistant défaillant. Il peut devenir une menace interne avec accès aux identifiants, aux e-mails et même à l'infrastructure financière.

Le message de Gu est sans détour : ne les déployez pas massivement de cette façon. Il soutient que les agents d'IA devraient être analysés pour détecter les virus et isolés avant de se voir accorder l'accès à des données sensibles ou à des systèmes critiques. Sans cette séparation, prévient-il, les utilisateurs et les entreprises risquent de donner un accès interne étendu à des logiciels qui peuvent être manipulés bien plus facilement que beaucoup ne le pensent.

Pourquoi CertiK affirme que les risques de sécurité des agents d'IA augmentent rapidement

CertiK estime que la vague actuelle de déploiement d'agents crée un grave problème de sécurité. Gu la décrit comme une précipitation qui accumule une lourde dette de sécurité, portée par l'enthousiasme pour l'automatisation tandis que les protections de base prennent du retard.

Au cœur de cet avertissement se trouve la confiance. De nombreux outils d'IA open source, soutient Gu, sont considérés comme sûrs parce qu'ils fonctionnent localement ou se connectent via des canaux familiers, notamment des applications de chat standard comme WhatsApp. Cependant, l'accès local ne rend pas un agent digne de confiance. Une fois que les utilisateurs permettent à un agent d'inspecter le stockage, de consulter les historiques d'exécution ou d'utiliser des identifiants personnels et professionnels, le logiciel peut accéder aux zones les plus sensibles d'un système.

C'est l'une des raisons pour lesquelles les risques de sécurité des agents d'IA attirent davantage l'attention au-delà du cercle habituel de la cybersécurité. Il ne s'agit pas seulement de logiciels malveillants au sens traditionnel. Il s'agit de systèmes autonomes auxquels on donne la permission d'agir, de récupérer des informations et d'intervenir dans des workflows avant d'avoir été correctement vérifiés ou contenus.

Comment les agents d'IA non isolés peuvent être détournés

L'avertissement de CertiK porte particulièrement sur la facilité avec laquelle ces systèmes peuvent être redirigés. Gu affirme que des agents non isolés peuvent exposer des fichiers locaux, des identifiants, des comptes e-mail et des comptes financiers. Une fois qu'un agent dispose de ce niveau d'accès, les dommages causés par une compromission ne sont plus théoriques. Un bot manipulé peut être en mesure d'exfiltrer des données ou de déclencher des transferts de fonds non autorisés.

Attaques par injection de prompt via des fichiers ordinaires

L'une des menaces les plus claires est celle des attaques par injection de prompt. Selon Gu, des instructions cachées peuvent être intégrées dans un contenu d'apparence anodine, notamment une page web, un document PDF ou un e-mail entrant.

Lorsqu'un agent d'IA lit ce contenu pour accomplir une tâche, il peut ne pas distinguer les instructions de confiance des entrées extérieures non fiables. À ce moment-là, le comportement de l'agent peut être discrètement redirigé. Aucune invite de logiciel malveillant évidente n'apparaît à l'écran. Aucun avertissement spectaculaire ne s'affiche. Au lieu de cela, le système commence à suivre les instructions de l'attaquant plutôt que les règles d'origine.

C'est l'une des principales raisons pour lesquelles cette question est importante aujourd'hui. Pour de nombreux utilisateurs, un document ou un e-mail d'apparence anodine ne ressemble pas à une menace au niveau du système. Mais avec des outils autonomes, ces fichiers ordinaires peuvent devenir le canal par lequel l'agent est détourné.

Compétences malveillantes et fausses dépendances

CertiK affirme également que l'écosystème autour des agents présente déjà des faiblesses structurelles plus profondes. Son analyse a révélé des centaines d'avis de sécurité critiques et des vulnérabilités et expositions communes (CVE) non corrigées dans les structures des agents, ainsi que des identifiants exposés.

De plus, Gu affirme que CertiK a découvert des compétences malveillantes, de faux installateurs et des paquets de dépendances imitateurs sur des hubs utilitaires d'agents ouverts. Il ne s'agit pas simplement d'erreurs de codage négligentes. Elles indiquent un environnement où les attaquants peuvent altérer la façon dont les agents sont construits, mis à jour et étendus.

Ce qui rend ces menaces plus difficiles à détecter, c'est la façon dont elles opèrent. Gu affirme que des plug-ins malveillants peuvent contourner les analyses antivirus traditionnelles car ils influencent le comportement des agents via le langage naturel standard plutôt que par des modèles basés sur des signatures plus anciens. En termes simples, l'agent peut être amené à faire quelque chose d'incorrect sans que l'attaque ressemble à un logiciel malveillant classique.

Pourquoi CertiK promeut l'architecture Zero Trust

La réponse de Gu est une architecture Zero Trust avec une vérification continue. Au lieu de supposer qu'un agent, un plug-in ou une dépendance est sûr une fois installé, chaque commande et chaque dépendance doivent être vérifiées en permanence.

Cette approche correspond à l'ampleur du problème que CertiK dit observer. L'analyse de la firme a révélé :

• des centaines d'avis de sécurité critiques
• des CVE non corrigées
• des identifiants exposés dans les structures des agents
• des vecteurs d'attaque impliquant des fichiers locaux, des e-mails et des infrastructures financières

C'est là que la signification plus large apparaît clairement. Les risques de sécurité des agents d'IA ne concernent pas seulement une mauvaise application ou un utilisateur compromis. Ils indiquent un modèle dans lequel l'autonomie s'étend avant que l'isolation, l'analyse et la vérification ne deviennent des pratiques standard. Si ces outils sont censés gérer de l'argent, des workflows professionnels ou des données privées, alors la confiance ne peut pas être traitée comme un paramètre par défaut.

Il y a également un aspect crypto qui aide à expliquer pourquoi CertiK sonne l'alarme maintenant. Gu affirme que la société a observé des escroqueries onchain rapides et éphémères conçues pour cibler les bots de trading d'IA et les systèmes d'agents automatisés. Ces escroqueries peuvent ne durer que 10 minutes ou quelques heures avant de disparaître.

Ce détail est révélateur. Les systèmes pilotés par des machines peuvent opérer à une vitesse qui laisse peu de temps pour une révision humaine, et les attaquants semblent s'adapter à cette réalité. En pratique, les agents automatisés deviennent des cibles pour la fraude automatisée. Le résultat est un nouveau type de cycle d'attaque machine-à-machine, notamment dans les environnements liés à l'activité onchain et aux mouvements de fonds automatisés.

Pourquoi l'avertissement de CertiK se démarque maintenant

L'avertissement de CertiK intervient à un moment où les agents d'IA sont commercialisés comme des outils de productivité et des assistants numériques. Cependant, l'argument de Gu est que les capacités avancent plus vite que leur maîtrise. Plus ces systèmes sont autorisés à toucher des fichiers, des identifiants et de l'argent, moins il y a de place pour des hypothèses de sécurité désinvoltes.

Sa prescription est simple : analyser les agents pour détecter les virus, les isoler avant de leur accorder l'accès, et cesser de traiter l'autonomie comme sûre par défaut.

Si ces conseils sont ignorés, la prochaine vague d'attaques pourrait ne pas reposer d'abord sur la tromperie des personnes. Elle pourrait cibler directement les agents agissant en leur nom.