Votre assistant IA préféré peut être intelligent, mais les chercheurs soutiennent désormais qu'il devrait être traité avec le même scepticisme que votre ordinateur réserve à un programme téléchargé au hasard. Un article de mai 2026 publié sur arXiv affirme que les agents IA, en particulier ceux gérant des transactions financières, doivent être conçus comme des composants fondamentalement non fiables au sein de systèmes plus larges.
L'article, intitulé « Agent Security is a Systems Problem » (arXiv:2605.18991), arrive à un moment où l'industrie de la crypto mise fortement sur des agents IA autonomes pour gérer tout, des trades DeFi aux opérations de wallet. Le PDG de Circle, Jeremy Allaire, a prédit que des milliards d'agents IA effectueront indépendamment des activités économiques en utilisant des stablecoins dans les trois à cinq prochaines années.
L'analogue du système d'exploitation
Les systèmes d'exploitation modernes ne font pas confiance aux processus individuels. Chaque application s'exécute dans un bac à sable avec des autorisations limitées, ne peut accéder qu'aux fichiers auxquels elle a explicitement droit, et est arrêtée si elle tente de dépasser ses limites. Les chercheurs souhaitent appliquer la même philosophie aux agents d'IA.
L'article préconise trois mesures spécifiques. Premièrement, appliquer des invariants de sécurité au niveau système, c'est-à-dire des règles strictes que l'IA elle-même ne peut pas contourner. Deuxièmement, mettre en œuvre un sandboxing avec le principe du moindre privilège, selon lequel les agents n'ont accès qu'aux ressources minimales nécessaires à leur tâche spécifique. Troisièmement, garantir une séparation efficace entre les instructions et les données, ce qui permet de contrer l'un des vecteurs d'attaque les plus dangereux dans les systèmes d'IA actuels.
Ce dernier point est plus important qu'il n'y paraît. Les attaques par injection de prompts fonctionnent précisément parce que les agents IA ne parviennent souvent pas à distinguer les instructions légitimes des données malveillantes contenant des commandes cachées. Lorsqu'un agent traite un mémo de transaction contenant secrètement des instructions pour rediriger des fonds, le manque de séparation devient un problème de 500 000 $.
L'alerte de 500 000 $
Ce montant n’est pas hypothétique. Un incident survenu en avril 2026 a entraîné le retrait exact de ce montant d’un wallet cryptographique en raison de failles dans l’infrastructure IA et d’appels malveillants à des outils. L’attaque a exploité la vulnérabilité que les chercheurs alertent : un agent IA avec un accès excessif, une vérification insuffisante des outils qu’il appelait, et aucune protection au niveau système pour détecter l’anomalie avant le transfert des fonds.
La nature autonome de ces agents augmente le risque. Un trader humain qui reçoit un e-mail d'hameçonnage pourrait hésiter et réfléchir. Un agent IA qui reçoit une injection de commande soigneusement conçue l'exécute à la vitesse de la machine, pouvant épuiser les actifs avant que tout système de surveillance ne puisse réagir.
Réponses matérielles et de gouvernance
Certain entreprises se déplacent déjà dans la direction recommandée par le document. Ledger a défini une feuille de route sécurité pour 2026 incluant des initiatives de sécurité matérielle spécifiquement conçues pour les environnements d'agents IA. La logique est simple : si vous ne pouvez pas entièrement faire confiance à la couche logicielle, ancrez les opérations critiques dans du matériel offrant des garanties cryptographiques indépendantes du comportement de l'IA.
La recommandation du document de considérer cela comme un « problème de système » plutôt qu’un « problème de modèle » constitue une distinction significative. Elle déplace la responsabilité des seuls développeurs d’IA vers l’écosystème plus large des fournisseurs d’infrastructure, des concepteurs de protocoles et des opérateurs de plateformes.
Ce que cela signifie pour les investisseurs
Surveillez les protocoles qui mettent en œuvre un calcul vérifiable pour les actions des agents IA, une attestation sur chaîne du comportement des agents et des contrôles d'accès à privilèges minimum obligatoires. Ces fonctionnalités deviendront probablement des exigences de base pour les plateformes d'agents IA de niveau institutionnel dans les 12 à 18 prochains mois.