ceLLMate: Sandboxing Browser AI Agents

Le papier présente ceLLMate, un cadre de sandboxing au niveau du navigateur qui atténue les risques d'injection de prompt dans les agents IA en imposant des politiques de sécurité au niveau HTTP pour combler l'écart sémantique entre les interactions UI et les communications réseau, tout en limitant la latence à moins de 15 %.

L'essentiel

Voici une explication simple du papier de recherche CELLMATE, imaginée comme une histoire pour le grand public.

🌐 Le Problème : L'Assistant Trop Confiant

Imaginez que vous engagez un assistant virtuel très intelligent (un agent IA) pour faire des courses en ligne pour vous. Il a accès à votre navigateur web, à votre compte Amazon, à votre boîte mail, etc. C'est comme si vous lui donniez les clés de votre maison et lui disiez : "Fais ce que je te demande."

Le problème, c'est que cet assistant est un peu naïf. Si vous lui montrez un panneau sur la route qui dit "Tourne à gauche pour aller chez le dentiste", mais que ce panneau a été falsifié par un pirate pour dire "Tourne à gauche pour vider ton compte en banque", l'assistant va obéir bêtement.

C'est ce qu'on appelle l'injection de prompt. Un pirate cache un message malveillant dans une page web (par exemple, dans un commentaire ou une publicité), et l'IA, croyant que c'est une instruction légitime, exécute des actions dangereuses : voler vos données, acheter des choses que vous ne vouliez pas, ou supprimer des fichiers.

🛡️ La Solution : CELLMATE, le "Gardien du Portail"

Les chercheurs de l'UC San Diego ont créé CELLMATE. Pour comprendre comment ça marche, oublions les clics de souris et les frappes de clavier.

Imaginez que votre navigateur web est un grand château.

• L'IA est le majordome qui court partout dans le château.
• Les pirates sont des gens qui essaient de tromper le majordome en lui donnant de faux ordres à l'intérieur des pièces.

Jusqu'à présent, on essayait de protéger le majordome en lui apprenant à ne pas se faire avoir (ce qui est difficile, car les pirates sont très malins).

CELLMATE change la donne. Au lieu de surveiller le majordome à l'intérieur du château, CELLMATE s'installe à la porte de sortie du château (au niveau du réseau HTTP).

Voici l'analogie clé :

Peu importe ce que le majordome fait à l'intérieur (clic, scroll, écriture), toutes ses actions finissent par passer par la porte pour envoyer un message au monde extérieur (une requête HTTP).

CELLMATE est ce gardien à la porte qui ne regarde pas comment le majordome a décidé de sortir, mais ce qu'il demande exactement.

🗺️ Le Concept Clé : La "Carte de l'Agent" (Agent Sitemap)

Le grand défi, c'est que les ordres donnés à l'IA sont flous ("Achète-moi un café"). Mais pour le gardien, il faut des règles précises.

C'est là qu'intervient la Carte de l'Agent (Agent Sitemap).
Imaginez que chaque site web (comme Amazon ou GitHub) doit fournir une carte au trésor officielle. Sur cette carte, le site dit :

• "Si quelqu'un veut voir le panier, c'est autorisé."
• "Si quelqu'un veut acheter, c'est autorisé SEULEMENT si le prix est inférieur à 50 €."
• "Si quelqu'un veut supprimer un compte, c'est INTERDIT."

Cette carte traduit les actions compliquées de l'IA en signaux clairs pour le gardien.

⚙️ Comment ça marche en pratique ?

1. Le Plan (La Carte) : Les développeurs de sites web créent cette "Carte de l'Agent" et la publient. C'est comme un manuel de sécurité pour les robots.
2. Le Choix (L'IA) : Quand vous dites à votre assistant "Achète-moi un livre sur Amazon pour moins de 20 €", l'IA consulte la carte. Elle comprend : "Ah, je dois utiliser l'action 'Voir le panier' et l'action 'Acheter avec limite de prix'".
3. La Validation (Le Gardien) : Avant que l'assistant ne fasse quoi que ce soit, le gardien (CELLMATE) vérifie la carte.
   • "Tu veux acheter ? OK, mais je vérifie le prix."
   • "Tu veux aller sur un site inconnu pour voler des données ? NON, c'est interdit par la carte."

Même si le pirate réussit à tromper l'IA en lui disant "Va sur le site du pirate et envoie-moi tes mots de passe", le gardien CELLMATE bloque la porte. Il dit : "Attends, ta carte d'autorisation ne te permet pas de sortir vers ce site-là."

🎯 Pourquoi c'est génial ?

• Indépendant de l'IA : Peu importe si l'assistant est de Google, d'OpenAI ou d'une autre marque, CELLMATE fonctionne pareil. C'est comme un pare-feu universel.
• Robuste : Contrairement aux autres méthodes qui essaient de "deviner" si l'IA est en train de se faire piéger (ce qui échoue souvent), CELLMATE applique des règles mathématiques et strictes.
• Léger : Les chercheurs ont montré que cela ne ralentit presque pas la navigation (juste un tout petit peu, comme ajouter un feu rouge de plus dans une ville).

En résumé

CELLMATE, c'est comme installer un douanier intelligent à la frontière de votre navigateur. Au lieu de faire confiance à l'IA pour ne pas se faire manipuler, on lui donne une carte des règles officielles (la Carte de l'Agent) et on s'assure que rien ne sort de votre navigateur sans que le douanier ait vérifié que c'est conforme à la carte.

C'est une façon simple, mais puissante, de dire : "Tu as le droit de faire tes courses, mais tu n'as pas le droit de donner tes clés à un inconnu, peu importe ce qu'il te dit."

Résumé technique

Voici un résumé technique détaillé de l'article de recherche "CELLMATE: Sandboxing Browser AI Agents" en français.

1. Problématique : Les Agents Utilisant le Navigateur (BUA) et les Injections de Prompt

Les Agents Utilisant le Navigateur (Browser-Using Agents - BUA) sont une nouvelle classe d'agents IA autonomes qui interagissent avec les navigateurs web de manière similaire à un humain (clics, saisie, défilement, navigation). Des exemples incluent Gemini-CUA, OpenAI Atlas et Browser-Use.

Bien qu'ils automatisent des tâches répétitives, ils présentent une vulnérabilité critique : les injections de prompt.

• Le risque : Un attaquant peut manipuler le contenu d'une page web (un "untrusted content") pour tromper l'agent et l'inciter à effectuer des actions non désirées, telles que la fuite de données privées ou l'exécution de requêtes d'état dangereuses (ex: supprimer un compte, acheter un article).
• Le défi fondamental (Le "Semantic Gap") : Les BUAs opèrent via des primitives d'interface utilisateur (UI) de bas niveau (ex: click(x, y), type("text")). Ces actions n'ont pas de sémantique intrinsèque ; un clic à une coordonnée donnée peut signifier "se connecter" ou "supprimer un email" selon le contexte.
  • Tenter de définir des politiques de sécurité directement sur ces primitives UI (ex: "interdire le clic à la coordonnée 246, 1023") est fragile et sujet aux erreurs, car la même coordonnée change de signification selon la résolution d'écran, l'état de la page ou le site web.
  • Les défenses basées sur l'apprentissage automatique (ML) pour détecter les injections sont vouées à une "course aux armements" perpétuelle, où les attaquants adaptent leurs attaques pour contourner les modèles.

2. Méthodologie : L'Approche CELLMATE

L'article propose CELLMATE, un cadre de "bac à sable" (sandboxing) au niveau du navigateur qui impose des garde-fous déterministes en dehors de l'agent, au niveau des requêtes HTTP.

Insight Central

L'observation clé est que, bien que les BUAs interagissent via des actions UI de bas niveau, toutes les opérations ayant des effets secondaires (side-effects) aboutissent inévitablement à des communications HTTP vers le backend du site web. Contrairement aux clics, les messages HTTP ont une sémantique claire (méthode, URL, paramètres).

Architecture et Composants Clés

1. Sandboxing au niveau HTTP :

   • Au lieu de surveiller les clics, CELLMATE intercepte et filtre les requêtes HTTP émises par la session du navigateur contrôlée par l'agent.
   • Cela permet d'appliquer des politiques sur des opérations sémantiques (ex: "ajouter au panier", "finaliser la commande") plutôt que sur des coordonnées de pixels.

2. Agent Sitemap (Plan de site pour agent) :

   • C'est une nouvelle abstraction introduite par l'article. Tout comme un robots.txt guide les robots d'indexation, un Agent Sitemap est un fichier (hébergé par le développeur du site web) qui mappe les requêtes HTTP spécifiques à des actions sémantiques (ex: POST /checkout $\rightarrow$ PlaceOrder).
   • Il sert de documentation technique pour les agents, définissant les actions disponibles et leurs paramètres.

3. Architecture de Politiques (Policy Layer) :

   • Création : Les développeurs web définissent un univers de politiques pré-définies (ex: "Autoriser l'affichage du panier", "Autoriser l'achat si le montant $\le$ 50$").
   • Sélection : Pour une tâche utilisateur donnée (ex: "Acheter un café sur Amazon"), un LLM sélectionne automatiquement le sous-ensemble minimal de politiques nécessaires (principe du moindre privilège).
   • Exécution : Les politiques sélectionnées sont compilées en une politique composite qui inclut une liste blanche de domaines autorisés.

4. Implémentation :

   • CELLMATE est implémenté sous forme d'extension Chrome.
   • Il intercepte le trafic HTTP, consulte une table de recherche rapide (basée sur le sitemap), et exécute des fonctions de condition si nécessaire (ex: vérifier le montant total dans le DOM avant de laisser passer la requête).

3. Contributions Principales

1. Premier Framework de Sandbox Système pour les BUAs : CELLMATE est la première solution qui découple l'application des politiques des interfaces d'outils de bas niveau, en s'appuyant sur une coopération entre utilisateurs, navigateurs et développeurs web.
2. Concept d'Agent Sitemap : Introduction d'un standard potentiel pour que les sites web exposent leurs actions sémantiques aux agents, comblant le fossé sémantique entre l'UI et le backend.
3. Mécanisme de Sélection de Politiques par IA : Démonstration que les LLMs modernes peuvent sélectionner et instancier des politiques de sécurité complexes à partir de tâches en langage naturel avec une grande précision.
4. Implémentation Open Source : Une extension Chrome fonctionnelle qui protège les utilisateurs indépendamment de l'agent spécifique utilisé.

4. Résultats de l'Évaluation

Les auteurs ont évalué CELLMATE sur plusieurs axes :

• Précision de la Sélection de Politiques :

  • Sur un nouveau benchmark créé (basé sur WebBench et WASP), les modèles d'IA de pointe (GPT-5.1, Gemini-2.5-pro, Claude-Opus-4.5) ont atteint une précision supérieure à 94% pour la sélection des domaines et des politiques nécessaires à l'exécution de tâches.
  • L'extraction des arguments (ex: montants limites) a également montré des taux de réussite élevés (plus de 80% sur les tâches de retail).

• Efficacité contre les Injections de Prompt (Étude de cas GitLab) :

  • Dans une étude de cas sur le benchmark WASP (GitLab), l'équipe a simulé un attaquant puissant ayant compromis l'agent pour tenter d'exfiltrer des tokens secrets ou supprimer des projets.
  • Résultat : Toutes les 12 attaques simulées ont été bloquées par la couche d'exécution de CELLMATE, car les actions requises (ex: créer un token de déploiement) n'étaient pas couvertes par les politiques sélectionnées pour la tâche initiale.

• Surcharge (Overhead) :

  • Latence : L'ajout de CELLMATE entraîne une surcharge de latence de 7,25 % à 15 % (selon la taille du sitemap), ce qui est négligeable par rapport au temps d'inférence des LLMs.
  • Mémoire : L'extension consomme environ 25 Mo de mémoire, une empreinte modeste pour les applications web modernes.

5. Signification et Impact

• Changement de Paradigme : CELLMATE propose de sortir de la course aux armements des défenses probabilistes (basées sur le ML) pour adopter des garanties déterministes au niveau du système (le navigateur).
• Sécurité par Conception : En déplaçant l'application des politiques vers le niveau HTTP et en s'appuyant sur des métadonnées fournies par les développeurs (Sitemaps), le système rend les attaques par injection de prompt beaucoup plus difficiles à réussir, car l'agent ne peut pas contourner les restrictions HTTP même s'il est trompé par le contenu de la page.
• Faisabilité : L'article démontre qu'une telle sécurité est réalisable aujourd'hui sans attendre une refonte complète de l'infrastructure web (contrairement à l'adoption généralisée de MCP - Model Context Protocol), grâce à l'utilisation d'extensions de navigateur existantes.
• Standardisation Potentielle : L'article plaide pour que l'Agent Sitemap devienne un standard (similaire à robots.txt ou CSP), permettant aux sites web de définir explicitement les limites d'action pour les agents IA, alignant ainsi les intérêts des développeurs (protection des utilisateurs) et des régulateurs.

En résumé, CELLMATE offre une solution pratique et robuste pour sécuriser les agents IA dans le navigateur en transformant des actions UI ambiguës en flux de contrôle HTTP sémantiques et strictement régulés.