L'avertissement concernant les risques de sécurité des agents IA devient de plus en plus aigu — et urgent. Ronghui Gu, co-fondateur et PDG de CertiK, dit que la course pour déployer des agents IA autonomes à travers des applications, des réseaux et des systèmes financiers avance plus vite que les contrôles de sécurité de base nécessaires pour les contenir.

C'est important parce que ces systèmes ne se contentent plus de répondre à des invites dans une boîte de discussion. Gu dit qu'ils sont de plus en plus autorisés à lire des fichiers locaux, à appeler des outils externes, à déclencher des flux de travail et à interagir avec des comptes sensibles. En pratique, cela signifie qu'un agent compromis n'est pas juste un assistant bogué. Il peut devenir une menace interne avec accès aux identifiants, aux emails et même à l'infrastructure financière.

Le message de Gu est clair : ne les déployez pas massivement de cette manière. Il soutient que les agents IA devraient être scannés pour des virus et isolés avant qu'on leur accorde l'accès à des données sensibles ou à des systèmes critiques. Sans cette séparation, il avertit que les utilisateurs et les entreprises pourraient donner un large accès interne à des logiciels qui peuvent être manipulés bien plus facilement que beaucoup ne s'y attendent.

Pourquoi CertiK dit que les risques de sécurité des agents IA s'accumulent rapidement

La vision de CertiK est que la vague actuelle de déploiement d'agents crée un sérieux problème de sécurité. Gu le décrit comme une ruée qui accumule une lourde dette de sécurité, alimentée par l'enthousiasme pour l'automatisation tandis que les protections de base sont à la traîne.

Au cœur de cet avertissement se trouve la confiance. De nombreux outils IA open-source, argumente Gu, sont considérés comme sûrs car ils fonctionnent localement ou se connectent par le biais de canaux familiers, y compris des applications de chat standard telles que WhatsApp. Cependant, un accès local ne rend pas un agent digne de confiance. Une fois que les utilisateurs permettent à un agent d'inspecter le stockage, de voir les historiques d'exécution ou d'utiliser des identifiants personnels et professionnels, le logiciel peut atteindre des zones les plus sensibles d'un système.

C'est une des raisons pour lesquelles les risques de sécurité des agents IA attirent plus d'attention au-delà du cercle habituel de la cybersécurité. Ce n'est pas juste une question de malware dans le sens ancien. Il s'agit de systèmes autonomes ayant reçu la permission d'agir, de récupérer des informations et de naviguer dans des flux de travail avant d'avoir été correctement vérifiés ou contenus.

Comment les agents IA non isolés peuvent être détournés

L'avertissement de CertiK est particulièrement axé sur la facilité avec laquelle ces systèmes peuvent être redirigés. Gu dit que les agents non isolés peuvent exposer des fichiers locaux, des identifiants, des comptes email et des comptes financiers. Une fois qu'un agent a ce niveau d'accès, les dommages d'un compromis ne sont plus théoriques. Un bot manipulé peut être capable d'exfiltrer des données ou de déclencher des transferts de fonds non autorisés.

Attaques d'injection de prompt à travers des fichiers ordinaires

Une des menaces les plus claires est les attaques par injection de prompt. Selon Gu, des instructions cachées peuvent être intégrées dans un contenu qui semble inoffensif, y compris une page web, un document PDF ou un email entrant.

Quand un agent IA lit ce contenu pour accomplir une tâche, il peut ne pas réussir à distinguer les instructions de confiance des entrées externes non fiables. À ce moment-là, le comportement de l'agent peut être discrètement redirigé. Aucun prompt de malware évident n'apparaît à l'écran. Aucun avertissement dramatique ne s'affiche. Au lieu de cela, le système commence à suivre les instructions de l'attaquant plutôt que les règles originales.

C'est une des raisons majeures pour lesquelles cette question est importante maintenant. Pour de nombreux utilisateurs, un document ou un email qui semble inoffensif ne ressemble pas à une menace au niveau du système. Mais avec des outils autonomes, ces fichiers ordinaires peuvent devenir le canal par lequel l'agent est détourné.

Compétences malveillantes et fausses dépendances

CertiK dit aussi que l'écosystème autour des agents montre déjà de plus profondes faiblesses structurelles. Son analyse a trouvé des centaines d'avis de sécurité critiques et des vulnérabilités courantes non corrigées, ou CVE, dans les structures d'agents, ainsi que des identifiants exposés.

En plus de cela, Gu dit que CertiK a découvert des compétences malveillantes, de faux installateurs et des paquets de dépendances ressemblants sur des hubs d'utilitaires d'agents ouverts. Ce ne sont pas seulement des erreurs de codage négligentes. Elles indiquent un environnement où les attaquants peuvent manipuler la façon dont les agents sont construits, mis à jour et étendus.

Ce qui rend cela plus difficile à attraper, c'est la façon dont ces menaces opèrent. Gu dit que les plug-ins malveillants peuvent contourner les analyses antivirus traditionnelles car ils influencent le comportement de l'agent par le biais d'un langage naturel standard plutôt que par des modèles basés sur des signatures plus anciens. En termes simples, l'agent peut être trompé pour faire la mauvaise chose sans que l'attaque ressemble à un malware classique.

Pourquoi CertiK pousse l'architecture Zero Trust

La réponse de Gu est une architecture Zero Trust avec vérification continue. Au lieu de supposer qu'un agent, un plug-in ou une dépendance est sûr une fois installé, chaque commande et dépendance doit être vérifiée en permanence.

Cette approche correspond à l'échelle du problème que CertiK dit observer. L'analyse de la firme a trouvé :

• des centaines d'avis de sécurité critiques

• CVE non corrigées

• identifiants exposés dans les structures d'agents

• chemins d'attaque impliquant des fichiers locaux, des emails et des infrastructures financières

C'est ici que l'importance plus large se met en lumière. Les risques de sécurité des agents IA ne concernent pas seulement une mauvaise application ou un utilisateur compromis. Ils indiquent un modèle dans lequel l'autonomie s'étend avant que l'isolement, le scan et la vérification ne deviennent des pratiques standard. Si ces outils sont censés gérer de l'argent, des flux de travail d'entreprise ou des données privées, alors la confiance ne peut pas être considérée comme un paramètre par défaut.

Il y a aussi un angle crypto qui aide à expliquer pourquoi CertiK tire la sonnette d'alarme maintenant. Gu dit que l'entreprise a observé des arnaques on-chain rapides et éphémères conçues pour cibler des bots de trading IA et des systèmes d'agents automatisés. Ces arnaques peuvent durer seulement 10 minutes ou quelques heures avant de disparaître.

Ce détail est révélateur. Les systèmes pilotés par machine peuvent fonctionner à une vitesse qui laisse peu de temps pour un examen humain, et les attaquants semblent s'adapter à cette réalité. En effet, les agents automatisés deviennent des cibles pour la fraude automatisée. Le résultat est un nouveau type de cycle d'attaque machine contre machine, surtout dans des environnements liés à l'activité on-chain et au mouvement automatisé de fonds.

Pourquoi l'avertissement de CertiK se démarque maintenant

L'avertissement de CertiK arrive à un moment où les agents IA sont commercialisés comme des outils de productivité et des assistants numériques. Cependant, l'argument de Gu est que les capacités prennent de l'avance sur la containment. Plus ces systèmes sont autorisés à toucher des fichiers, des identifiants et de l'argent, moins il y a de place pour des hypothèses de sécurité décontractées.

Sa prescription est simple : scanner les agents pour détecter des virus, les isoler avant de donner accès, et ne plus considérer l'autonomie comme sûre par défaut.

Si ce conseil est ignoré, la prochaine vague d'attaques pourrait ne pas dépendre d'abord de tromper les gens. Elles pourraient s'attaquer directement aux agents agissant en leur nom.