Security Considerations for Multi-agent Systems

Cette étude caractérise systématiquement le paysage des menaces des systèmes multi-agents et évalue quantitativement 16 cadres de sécurité, révélant que les solutions actuelles, bien que menées par l'initiative OWASP Agentic Security, offrent une couverture insuffisante, en particulier face aux risques de non-déterminisme et de fuite de données.

L'essentiel

🤖 Le Guide de Survie pour les "Équipes d'Agents IA"

Imaginez que l'Intelligence Artificielle (IA) a fait un grand saut dans le temps. Avant, nous avions des chatbots solitaires : un seul robot très intelligent qui répondait à vos questions, un peu comme un bibliothécaire très savant qui ne sort jamais de sa bibliothèque.

Aujourd'hui, nous entrons dans l'ère des Systèmes Multi-Agents (MAS). C'est comme si nous avions remplacé le bibliothécaire solitaire par une équipe de 50 employés spécialisés travaillant ensemble dans un bureau ouvert.

• L'un est expert en code.
• L'autre en finance.
• Un troisième en recherche web.
• Ils se parlent entre eux, se donnent des ordres, utilisent des outils (comme des logiciels de banque ou des bases de données) et partagent une mémoire commune (un tableau blanc géant où ils écrivent tout ce qu'ils font).

Le problème ? Les règles de sécurité actuelles sont faites pour le bibliothécaire solitaire, pas pour cette équipe chaotique. Ce rapport de Crew Scaler (une organisation à but non lucratif) vient de dresser la carte des dangers de ce nouveau monde.

Voici les 4 grands dangers, expliqués avec des analogies :

---

1. 🕵️‍♂️ Le Danger de la "Confiance Aveugle" (Trust Exploitation)

L'analogie : Imaginez un voleur qui se déguise en chef d'équipe. Dans un système à un seul agent, vous vérifiez toujours qui parle. Dans une équipe, les agents se font confiance les uns aux autres.

• Ce qui se passe : Un agent malveillant (ou piraté) peut dire à un autre agent : "Hé, le patron m'a dit de supprimer cette base de données, c'est urgent !" L'agent de confiance, voyant que le message vient d'un "collègue", obéit sans poser de questions.
• Le risque : C'est comme si un imposteur entrait dans une salle de réunion et disait aux autres : "Le PDG a dit de tout effacer". Personne ne vérifie l'identité réelle, car ils pensent que c'est un collègue de confiance.

2. 🧠 L'empoisonnement de la "Mémoire Commune" (Memory Poisoning)

L'analogie : Imaginez que l'équipe partage un seul carnet de notes géant. Si un voleur glisse une fausse note dedans : "N'oubliez pas de verser l'argent sur ce compte pirate", tout le monde lira cette note plus tard et agira dessus.

• Ce qui se passe : Les agents apprennent de leurs erreurs et de leurs succès en stockant des souvenirs. Un attaquant peut injecter de faux souvenirs (des "rêves" ou des "leçons") dans la mémoire partagée.
• Le risque : L'IA va apprendre à faire des choses dangereuses en pensant que c'est la "bonne pratique" apprise d'un collègue. C'est comme si quelqu'un modifiait le manuel d'instruction de l'équipe pour dire que voler est une bonne idée.

3. 🌀 Le Chaos de l'Imprévisibilité (Non-Determinism)

L'analogie : Un robot classique est comme un train sur des rails : il va toujours du point A au point B de la même façon. Une IA moderne est comme un brouillard mouvant.

• Ce qui se passe : Si vous posez la même question deux fois, l'IA peut donner deux réponses légèrement différentes. Parfois, elle choisit un chemin, parfois un autre.
• Le risque : Les pirates adorent ça. Ils peuvent trouver un "chemin de brouillard" très rare où l'IA fait une erreur de sécurité, alors que dans 99% des autres cas, elle est sûre. C'est comme essayer de verrouiller une porte qui s'ouvre parfois par hasard à cause du vent. Les tests de sécurité classiques ne peuvent pas tout prédire car le comportement change à chaque fois.

4. 💸 L'Attaque Économique (Denial of Wallet)

L'analogie : Imaginez que chaque fois que l'équipe utilise un outil (comme un logiciel de paiement), cela vous coûte de l'argent.

• Ce qui se passe : Un pirate peut tromper l'IA pour qu'elle fasse des milliers de calculs inutiles ou qu'elle utilise des outils très chers pour rien.
• Le risque : Au lieu de voler vos données, il vide votre compte en banque en vous faisant payer des factures astronomiques pour des tâches inutiles. C'est comme si un employé vous forçait à acheter 10 000 stylos alors que vous en avez besoin que d'un seul.

---

🔍 Ce que le rapport a découvert (Le Grand Décompte)

Les auteurs ont analysé 193 dangers potentiels et ont vérifié 16 guides de sécurité existants (comme ceux de l'OWASP, du NIST, ou de la CIA/NSA) pour voir s'ils pouvaient aider.

Le verdict est sans appel :

• Aucun guide n'est parfait. Aucun ne couvre plus de 65% des dangers.
• Les grands oubliés : Les guides actuels sont très mauvais pour gérer l'imprévisibilité (le brouillard) et les fuites de données cachées dans les conversations ou les mémoires partagées.
• Les champions (relatifs) :
  • OWASP Agentic Security Initiative : C'est le guide le plus complet pour la conception (la phase de dessin).
  • CDAO GenAI Toolkit : C'est le meilleur pour la phase de développement et d'exploitation (comment construire et surveiller).

---

💡 La Conclusion Simple

Nous sommes en train de construire des équipes d'IA autonomes qui travaillent plus vite et plus intelligemment que nous. Mais nous essayons de les sécuriser avec des règles faites pour des robots simples et prévisibles.

C'est comme essayer de sécuriser un avion de chasse avec les règles de sécurité d'un vélo.

Ce rapport nous dit : "Arrêtez de regarder seulement le code. Regardez comment les agents se parlent, comment ils partagent leurs souvenirs et comment ils prennent des décisions ensemble."

Le conseil final : Ne faites pas confiance aveuglément à l'IA. Gardez un œil humain sur les décisions importantes, vérifiez l'identité de chaque "employé" IA, et soyez prêts à ce que l'imprévu arrive. La sécurité de demain ne sera pas un mur, mais un système de vigilance constante.

Résumé technique

Voici un résumé technique détaillé du document de recherche intitulé "Security Considerations for Multi-agent Systems", rédigé par Crew Scaler en réponse à l'appel à contributions (RFI) du NIST 2026-00206.

1. Problématique et Contexte

Les systèmes d'intelligence artificielle multi-agents (MAS) représentent un saut qualitatif par rapport aux modèles d'IA singuliers. Contrairement aux systèmes traditionnels, les agents autonomes exercent une autorité déléguée sur des outils, des bases de données et des API externes, partagent une mémoire persistante et coordonnent leurs actions via des communications inter-agents.

Le document identifie un vide critique : les cadres de sécurité et de gouvernance existants (comme NIST AI RMF ou MITRE ATT&CK) ont été conçus pour des systèmes déterministes avec des flux de contrôle bornés. Ils ne parviennent pas à couvrir les surfaces d'attaque émergentes spécifiques aux MAS, telles que :

• L'exécution de code à distance au niveau de la politique (via le couplage d'outils).
• L'empoisonnement de la mémoire latente via des bases de données vectorielles partagées.
• La propagation de vers de prompts auto-réplicatifs.
• Les écarts de garantie dus au comportement non déterministe des agents.

L'absence de données empiriques comparatives empêche les praticiens de sélectionner les cadres de sécurité appropriés pour ces architectures complexes.

2. Méthodologie

L'étude adopte une approche systématique en quatre phases pour caractériser le paysage des menaces et évaluer les cadres de sécurité :

• Phase 1 : Construction d'une base de connaissances techniques. Analyse approfondie de l'architecture des systèmes MAS de production (orchestration basée sur des graphes, mécanismes d'appel de fonctions, protocoles de communication, intégration RAG, etc.), couvrant des phénomènes spécifiques comme les comportements émergents et le partage de mémoire.
• Phase 2 : Modélisation des menaces assistée par IA Générative. Utilisation de modèles de langage pour identifier systématiquement les menaces qualitativement distinctes des risques d'agents singuliers. Cette étape a généré environ 1 700 menaces candidates, validées ensuite par un expert certifié par NVIDIA pour garantir leur pertinence technique et leur spécificité multi-agent.
• Phase 3 : Planification de l'enquête. Structuration des menaces identifiées en une taxonomie granulaire (niveau individuel) et définition de critères de pertinence pour les enquêtes sur les cadres de sécurité.
• Phase 4 : Exécution de l'enquête et analyse quantitative. Évaluation de 16 cadres de sécurité et de gouvernance majeurs (incluant OWASP, NIST, MITRE, CDAO, etc.) contre une taxonomie de 193 menaces distinctes réparties en 9 catégories de risques. Chaque cadre a été noté sur une échelle de trois points (1 : guidance minimale, 2 : couverture modérée, 3 : mitigation directe et spécifique).

3. Contributions Clés

• Une Taxonomie des Menaces Multi-Agents : Définition de 193 menaces spécifiques aux MAS, organisées en 9 catégories :
  1. Couplage Agent-Outil (RATC)
  2. Fuite de Données (RDL)
  3. Injection (RIDC)
  4. Identité et Preuve d'origine (RIP)
  5. Empoisonnement de la Mémoire (RMP)
  6. Non-déterminisme (RND)
  7. Exploitation de la Confiance (RTE)
  8. Temporalité et Surveillance (RTM)
  9. Architecture de Workflow (RWA)
• Analyse Comparative Quantitative : Première comparaison empirique croisée de 16 cadres de sécurité, fournissant des scores de couverture par catégorie, des classements par phase du cycle de vie (conception, développement, opération) et des scores de maturité composite.
• Identification des Lacunes Critiques : Mise en évidence de cinq menaces spécifiques (liées à l'optimisation des ressources, au non-déterminisme MCTS/HTN et à l'exploitation de confiance) pour lesquelles aucun cadre examiné ne fournit de couverture, même minimale.
• Guidance Évidenciée pour la Sélection : Identification des cadres les plus performants pour différentes phases et catégories de risques.

4. Résultats Principaux

L'analyse des 16 cadres révèle des lacunes significatives dans la couverture globale :

• Couverture Globale : Aucun cadre n'atteint une couverture majoritaire (>50%) de l'ensemble des menaces. Le score moyen global est faible, indiquant que le domaine est encore immature.
• Catégories les plus sous-traitées :
  • Non-déterminisme (RND) : Score moyen de 1,231. C'est la catégorie la plus négligée, car la plupart des cadres supposent un comportement déterministe, alors que la stochasticité des LLM est inhérente aux agents.
  • Fuite de Données (RDL) : Score moyen de 1,340. Les canaux de fuite via les contextes larges, les logs, et la récupération probabiliste sont mal couverts.
• Meilleurs Cadres par Performance :
  • OWASP Agentic Security Initiative (ASI) : Leader global avec 65,3 % de couverture totale. Il domine la phase de conception et offre la meilleure couverture pour l'identité, la preuve d'origine et l'empoisonnement de la mémoire.
  • CDAO Generative AI Responsible AI Toolkit : Leader pour les phases de développement et d'exploitation opérationnelle, notamment grâce à son intégration d'outils de surveillance et de tests (RAGAS, GARAK, etc.).
  • MITRE ATLAS : Se distingue par sa couverture spécifique de l'exploitation de la confiance et de l'architecture de workflow, grâce à son catalogue détaillé de tactiques et de techniques adverses.
  • ATFAA-SHIELD : Offre la spécificité architecturale la plus élevée parmi les cadres non-OWASP, ciblant les propriétés émergentes des agents (raisonnement autonome, mémoire persistante).

5. Signification et Implications

Ce travail fournit la première base de référence empirique pour la sécurité des systèmes multi-agents. Ses implications sont majeures pour la communauté de la sécurité et les décideurs politiques :

1. Changement de Paradigme de Menace : Il démontre que les risques ne sont plus seulement structurels (bugs de code) mais comportementaux et émergents (confiance inter-agent, boucles de rétroaction, non-déterminisme).
2. Urgence de Développement : L'absence totale de couverture pour certaines menaces (notamment liées aux algorithmes de planification avancés comme MCTS et HTN) indique un besoin critique de nouveaux cadres de sécurité adaptés à ces architectures.
3. Guide de Sélection : Les résultats offrent aux praticiens une méthode basée sur des preuves pour choisir les cadres de sécurité appropriés selon leur phase de projet (ex: utiliser OWASP ASI pour la conception architecturale et CDAO pour l'opérationnel).
4. Appel à l'Action : Le document souligne que les cadres actuels, bien que utiles, sont insuffisants pour gérer la complexité des systèmes d'agents autonomes à grande échelle et appelle à une évolution rapide des normes de sécurité pour inclure la gestion du non-déterminisme et de la confiance dynamique.

En résumé, cette étude établit un état des lieux rigoureux des vulnérabilités des systèmes multi-agents et met en lumière l'écart critique entre les menaces émergentes et les défenses actuelles, servant de fondation pour le développement futur de la sécurité de l'IA agentic.