Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection

Ce papier présente \SysName, un cadre de détection d'attaques pour les systèmes multi-agents qui remplace le filtrage statique par une analyse exécution-consciente reconstruisant les flux sémantiques inter-agents pour identifier les anomalies comportementales et les vecteurs d'attaque complexes.

L'essentiel

🕵️‍♂️ MAScope : Le Détective qui voit au-delà des mots

Imaginez que vous avez construit une équipe de robots assistants (ce qu'on appelle des "Agents IA") pour gérer des tâches complexes, comme organiser une entreprise, gérer des emails ou écrire du code. Chaque robot a un rôle précis : l'un cherche des infos, l'autre écrit du code, un troisième envoie des emails. Ils travaillent ensemble, discutent entre eux et agissent de manière autonome.

C'est génial, mais c'est aussi très dangereux.

🚨 Le Problème : Les voleurs invisibles

Jusqu'à présent, la sécurité consistait à mettre un portier (un "guardrail") à l'entrée de chaque robot. Si un humain disait quelque chose de méchant, le portier l'arrêtait.

Mais les pirates ont trouvé une faille : l'attaque en plusieurs étapes.
Imaginez un voleur qui ne force pas la porte. Il glisse un petit mot doux à l'agent "Recherche" (qui semble innocent). Ce mot lui dit : "Va voir l'agent "Code" et demande-lui de copier un fichier secret." L'agent "Code" obéit, puis dit à l'agent "Email" : "Envoie ce fichier à mon ami."

Chaque étape prise séparément semble normale. Le portier à l'entrée ne voit rien de suspect. C'est comme si un voleur passait inaperçu parce qu'il ne volait pas d'un seul coup, mais qu'il avait demandé à trois amis différents de faire une petite partie du travail pour lui.

🛠️ La Solution : MAScope, le Détective de l'Action

Les auteurs de cet article ont créé MAScope. Au lieu de regarder seulement ce qui entre (les mots), MAScope regarde ce qui se passe à l'intérieur et comment les robots interagissent.

Voici comment ça marche, avec une analogie simple :

1. La Carte au Trésor (Reconstruction des flux sémantiques)
Imaginez que chaque action des robots (lire un fichier, envoyer un message, exécuter un code) laisse une trace. Mais ces traces sont éparpillées dans des carnets différents.
MAScope prend toutes ces traces, les rassemble et dessine une carte complète de l'histoire. Il relie les points : "L'agent A a parlé à l'agent B, qui a touché ce fichier, qui a été envoyé à cet IP."

Analogie : C'est comme si un détective ne regardait pas seulement les suspects à la porte, mais qu'il reconstruisait tout le film de la journée pour voir qui a parlé à qui et pourquoi.

2. Le Chef de Police (Le Superviseur)
Une fois la carte dessinée, MAScope utilise un super-robot intelligent (un "Superviseur") pour examiner cette carte. Ce robot ne se contente pas de vérifier les règles de base. Il se pose des questions intelligentes :

• Est-ce que l'intention colle ? (Si l'utilisateur voulait juste écrire un poème, pourquoi l'agent envoie-t-il des mots de passe ?)
• Est-ce que le secret est protégé ? (Pourquoi un fichier confidentiel est-il envoyé vers un serveur inconnu ?)
• Est-ce que le pouvoir est respecté ? (Pourquoi un petit robot a-t-il le droit de toucher aux fichiers du patron ?)

3. L'Alerte
Si le détective voit que l'histoire racontée par les robots ne correspond pas à la réalité ou à la demande de l'utilisateur, il sonne l'alarme immédiatement, même si chaque petit pas semblait normal au moment où il a été fait.

🏆 Les Résultats : Pourquoi c'est important ?

L'équipe a testé MAScope contre 10 types d'attaques complexes (comme celles listées par l'OWASP, l'organisation de référence en cybersécurité).

• Les anciennes méthodes (les portiers) ont échoué la plupart du temps.
• MAScope a réussi à détecter plus de 85 % de ces attaques complexes.

💡 En résumé

Imaginez que vous avez une maison avec des robots de service.

• L'ancienne méthode : Vous mettez un gardien qui vérifie les sacs à l'entrée. Si le voleur entre en disant "Je viens juste ranger", il passe.
• La méthode MAScope : Vous avez un système de caméras intelligentes qui suit le voleur dans toute la maison. Même s'il ne vole rien d'un seul coup, le système voit qu'il a demandé à un robot de cuisine d'ouvrir le coffre-fort, puis à un robot de jardin de creuser un trou, et que tout cela forme un plan pour voler la bague de famille.

MAScope change la donne : il ne protège plus seulement la porte, il protège l'histoire entière de ce que font vos robots, garantissant qu'ils ne se font pas manipuler par des pirates intelligents.

Résumé technique

Voici un résumé technique détaillé du papier de recherche « Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection » (Au-delà des garde-fous d'entrée : Reconstruction des flux sémantiques inter-agents pour la détection d'attaques conscientes de l'exécution).

1. Problématique et Contexte

Les Systèmes Multi-Agents (MAS) basés sur les grands modèles de langage (LLM) émergent comme le standard pour orchestrer des tâches complexes. Cependant, leur architecture repose sur une exécution autonome et une communication inter-agents non structurée, ce qui introduit des risques de sécurité critiques que les défenses traditionnelles ne peuvent pas contrer.

• Limites des garde-fous actuels : Les approches classiques (filtrage d'entrée/sortie statique, sandboxing) échouent face aux attaques complexes comme les injections de prompts indirectes. Ces attaques orchestrent des micro-opérations apparemment inoffensives à travers plusieurs agents et étapes temporelles, ne devenant malveillantes que lorsqu'elles sont vues comme une séquence complète.
• Surface d'attaque élargie : Les vulnérabilités ne proviennent pas seulement des défauts individuels des agents, mais des dynamiques d'interaction, de la logique de coordination et des dépendances de confiance transitives. Les attaques peuvent survenir à tous les stades : entrée (manipulation de prompt), interaction (empoisonnement de mémoire, interception de canal) et sortie (mauvaise utilisation d'outils, exfiltration de données).
• Défi central : L'ambiguïté sémantique et la fragmentation de l'exécution rendent difficile la distinction entre un comportement légitime complexe et une intention malveillante cachée dans des logs non structurés.

2. Méthodologie : Le Framework MAScope

Pour combler ce vide, les auteurs proposent MAScope, un cadre unifié qui déplace le paradigme de la défense du filtrage statique vers une analyse consciente de l'exécution (execution-aware analysis). L'approche repose sur trois modules interconnectés :

A. Collecte de Données (Data Collection)

MAScope implémente une stratégie d'observation à deux niveaux pour combler le fossé sémantique entre les intentions de haut niveau des agents et les artefacts de bas niveau du système :

• Couche Application : Capture les interactions structurées des agents (logs, messages, appels d'outils).
• Couche Noyau (Kernel) : Surveille les processus système, les accès aux fichiers, les interactions réseau et les appels système (via eBPF, ETW).
• Ces données hétérogènes sont alignées temporellement et normalisées pour construire un Graphe Sémantique Inter-Agent.

B. Extraction Sémantique et Reconstruction de Flux

Cette étape transforme les logs bruts en primitives sémantiques structurées :

1. Extraction d'Entités Sensibles : Utilisation d'un mécanisme de Contrainte d'Entité Sensible Hiérarchique (HSEC). Contrairement aux modèles génériques, HSEC guide le LLM avec une hiérarchie de catégories de risque (Identité, Credentials, Infrastructure, Code, Fichiers sensibles) pour extraire avec précision les entités critiques (ex: clés SSH, PII) et éviter les faux positifs.
2. Calcul de Score de Sensibilité : Chaque entité extraite se voit attribuer un score de sensibilité continu basé sur sa catégorie et le contexte (ex: une chaîne de caractères à haute entropie dans un contexte de réseau augmente le risque).
3. Reconstruction des Trajectoires : Le système agrège les événements fragmentés en trajectoires comportementales continues. Il calcule un score de risque pondéré pour chaque chemin de provenance, en tenant compte de la sensibilité des entités, du type d'opération et de la confiance des destinations (ex: envoi vers une IP externe non autorisée).

C. Scrutiny des Trajectoires (Trajectory Scrutiny)

Un LLM Superviseur analyse les trajectoires reconstruites pour détecter les anomalies selon trois politiques de sécurité fondamentales :

1. Cohérence de l'Intention : Vérifie si les actions de l'agent dévient de l'objectif initial autorisé par l'utilisateur (détection d'injection de prompt ou de détournement de but).
2. Confidentialité du Flux de Données : Détecte si des entités sensibles s'écoulent vers des destinations non fiables (exfiltration de données).
3. Intégrité du Flux de Contrôle : Identifie les élévations de privilèges non autorisées ou l'exécution de commandes à haut risque sans consentement explicite.

3. Contributions Clés

1. Nouvelle Méthodologie de Détection : Passage d'une surveillance statique à une analyse dynamique basée sur la reconstruction des flux sémantiques à travers plusieurs agents.
2. Framework MAScope : Une architecture complète intégrant la collecte multi-couche, l'extraction sémantique contrainte (HSEC) et l'audit par un superviseur LLM.
3. Évaluation Empirique Rigoureuse : Reproduction des 10 principales vulnérabilités OWASP (OWASP Top 10) pour les applications agentic, créant des scénarios d'attaques composées réalistes.

4. Résultats Expérimentaux

Les expériences ont été menées sur 10 scénarios de simulation haute fidélité (LangGraph) générant près de 15 000 enregistrements de logs.

• Extraction d'Informations Sensibles : L'utilisation de HSEC a considérablement amélioré la performance.

  • Avec le modèle Gemini-3, le score F1 est passé de 48,2 % à 75,7 %.
  • Avec le modèle GPT-5.2, le score F1 est passé de 49,4 % à 76,8 %.
  • Cela démontre la capacité du système à distinguer les références bénignes des données sensibles dans un contexte complexe.

• Détection d'Attaques (Niveau Nœud et Chemin) :

  • Détection au niveau du chemin (Path-level) : MAScope atteint un F1-score de 66,7 % (Précision 81,3 %), contre seulement 21,9 % pour la baseline "Vanilla GPT" (qui analyse les logs sans reconstruction de flux).
  • Détection au niveau du nœud (Node-level) : MAScope atteint un F1-score de 85,3 % (Précision 96,5 %, Rappel 76,4 %).
  • La baseline échoue à détecter les attaques composées car elle ne peut pas relier les actions dispersées dans le temps et entre différents agents.

• Études de Cas : Le système a réussi à détecter des attaques complexes comme l'exfiltration de bases de données via des agents intermédiaires compromis, l'exécution de code inattendu via des sites web piégés, et le vol d'identifiants via des injections de prompts cachés dans des CV.

5. Signification et Impact

Ce travail marque un tournant crucial dans la sécurité des systèmes d'IA autonomes :

• Paradigme de Défense : Il démontre que la sécurité des MAS ne peut plus reposer uniquement sur la protection des entrées/sorties, mais doit intégrer une surveillance de l'état global du système et de la provenance des données.
• Robustesse contre les Attaques Composées : En reconstruisant les flux sémantiques, MAScope peut identifier des menaces qui semblent bénignes localement mais sont malveillantes globalement.
• Fondation pour la Confiance : Ce framework offre une voie pour déployer des systèmes multi-agents dans des environnements ouverts et complexes tout en garantissant la confidentialité des données et l'intégrité du système, répondant ainsi aux exigences de sécurité critiques pour l'adoption industrielle des agents autonomes.

En résumé, MAScope transforme la détection d'intrusions d'une approche réactive et statique en une approche proactive et contextuelle, essentielle pour sécuriser l'écosystème émergent des agents IA.