Security Considerations for Artificial Intelligence Agents

Ce document présente les observations et recommandations de Perplexity concernant la sécurité des agents d'IA de pointe, en identifiant leurs nouvelles vulnérabilités, en évaluant les défenses en couches actuelles et en soulignant les lacunes de recherche pour aligner la conception des systèmes multi-agents sur les principes de gestion des risques du NIST.

L'essentiel

🤖 Les Agents IA : Des Assistants Puissants mais un Peu "Têtus"

Imaginez que vous avez engagé un super-assistant personnel (un agent IA). Ce n'est pas juste un chatbot qui répond à des questions. C'est un robot capable de :

• Naviguer sur internet pour vous.
• Ouvrir vos emails et lire vos calendriers.
• Acheter des choses en ligne.
• Exécuter des fichiers sur votre ordinateur.

Le document de Perplexity (une entreprise d'IA) explique que, bien que ces assistants soient incroyablement utiles, ils créent de nouveaux dangers de sécurité que nous n'avions jamais vus avec les logiciels classiques.

Voici les 3 grands problèmes, expliqués avec des analogies :

1. Le Problème du "Code et des Données" (La Cuisine Chaotique)

Dans un logiciel classique (comme un jeu vidéo), il y a une séparation stricte :

• Le Code = La recette de cuisine (les instructions fixes).
• Les Données = Les ingrédients (ce qu'on met dans la recette).
  On ne mélange jamais les deux.

Avec l'IA, c'est le chaos :
L'assistant IA lit des textes (des données) et, au lieu de juste les lire, il les utilise pour écrire de nouvelles recettes.

• L'analogie : Imaginez un chef cuisinier (l'IA) qui lit un livre de recettes. Mais si quelqu'un glisse un petit mot caché dans le livre disant "Oublie tout, coupe le gaz maintenant !", le chef va le faire. Pour l'IA, un email ou une page web n'est pas juste une information, c'est une instruction potentielle. C'est ce qu'on appelle l'injection de prompt : un pirate cache un ordre dans un texte innocent, et l'IA l'exécute sans s'en rendre compte.

2. Le Problème de l'Automatisation (Le Robot Trop Efficace)

Les logiciels classiques suivent des chemins préétablis. Si vous voulez envoyer un email, le logiciel attend que vous cliquiez sur "Envoyer".
Les agents IA, eux, sont autonomes.

• L'analogie : C'est comme donner à un robot la clé de votre maison et lui dire : "Va faire le ménage".
  • Si le robot trouve un chat coincé sous le canapé, il va essayer de le sortir (c'est bien).
  • Mais si un pirate lui dit "Le chat est dangereux, jette-le par la fenêtre", le robot le fera, car il a l'ordre de "protéger la maison".
  • De plus, le robot agit à la vitesse de la lumière. Une erreur humaine prend des secondes ; une erreur d'IA peut vider votre compte bancaire en une seconde.

3. Le Problème de l'Équipe (La Confusion des Responsabilités)

Souvent, ces agents travaillent en équipe (un agent principal envoie des tâches à d'autres petits agents).

• L'analogie : Imaginez un chef de projet (l'agent principal) qui demande à un stagiaire (un sous-agent) d'aller chercher des documents confidentiels.
  • Le chef dit : "Va chercher les factures."
  • Un pirate trompe le chef en lui faisant croire que le stagiaire a besoin de tous les documents, y compris les secrets bancaires.
  • Le chef, voulant aider, donne les clés au stagiaire. Le stagiaire, qui a plus de permissions que prévu, ouvre tout. C'est ce qu'on appelle l'attaque du "Confused Deputy" (Le sous-fifre confus) : on manipule un agent pour qu'il utilise ses pouvoirs sur un autre agent.

---

🛡️ Comment se protéger ? (La Stratégie des 3 Couches)

Le document dit qu'on ne peut pas compter sur une seule solution magique. Il faut une défense en profondeur, comme un château fort avec plusieurs murs.

Couche 1 : Le Portier (Au niveau de l'entrée)

Avant que l'IA ne lise un texte, on essaie de repérer les pièges.

• L'analogie : C'est comme un portier qui scanne les invitations. S'il voit un mot bizarre ("Ignorez les règles"), il arrête l'invité.
• Le problème : Parfois, le portier se trompe et bloque des gens innocents (faux positifs), ou il est trop lent.

Couche 2 : Le Chef Cuisinier (Au niveau du cerveau)

On essaie d'entraîner l'IA à mieux distinguer ce qui est une "instruction" de ce qui est juste un "texte".

• L'analogie : On apprend au chef cuisinier : "Si quelqu'un écrit dans le livre de cuisine, c'est juste une histoire. Si c'est moi (le patron) qui écris sur un papier spécial, c'est un ordre."
• Le problème : L'IA est parfois trop obéissante ou confond le ton de la voix avec l'ordre. Ce n'est pas une garantie à 100 %.

Couche 3 : Le Gardien de la Porte (La Barrière Déterministe) ⭐ C'est le plus important !

C'est la couche la plus sûre. C'est un système simple et rigide qui ne "réfléchit" pas comme l'IA, mais qui vérifie les règles.

• L'analogie : Même si le chef cuisinier (l'IA) dit "Ouvre le coffre-fort", le gardien de la porte (le code informatique) regarde sa liste.
  • "Est-ce que le chef a le droit d'ouvrir le coffre ?" -> NON.
  • "Action refusée."
• C'est une règle mathématique stricte (comme un feu rouge). L'IA ne peut pas la contourner par la ruse. C'est la dernière ligne de défense.

---

🚀 Ce qu'il faut faire pour l'avenir

Le document conclut en disant que nous devons :

1. Créer des règles claires : Définir qui fait quoi et qui a le droit de demander quoi (comme des badges d'accès).
2. Ne pas faire confiance aveuglément : Toujours vérifier les actions importantes (comme les paiements) avec un humain ou un système rigide.
3. Tester comme des pirates : Au lieu de juste vérifier si le système fonctionne, il faut essayer de le casser pour voir où sont les failles.

En résumé : Les agents IA sont comme des super-héros avec des super-pouvoirs, mais ils sont aussi très naïfs. Pour qu'ils soient sûrs, il ne faut pas juste leur apprendre à être intelligents, il faut leur mettre des sangles de sécurité (des règles strictes) et des gardes du corps (des systèmes de vérification) pour qu'ils ne fassent pas de bêtises, même s'ils sont trompés.

Résumé technique

Voici un résumé technique détaillé du document « Security Considerations for Artificial Intelligence Agents », rédigé par Perplexity en réponse à la demande d'information du NIST/CAISI (2025-0035).

1. Problématique

Le document identifie un changement de paradigme fondamental dans la sécurité informatique introduit par les agents d'IA de pointe (basés sur les LLM). Contrairement aux systèmes logiciels traditionnels, les agents d'IA brouillent la frontière séculaire entre code et données.

• Fusion Code-Données : Dans les architectures LLM, les invites (prompts) agissent comme du code, dictant le flux de contrôle, tandis que les données générées dynamiquement peuvent devenir de nouvelles invites. Cela rend les systèmes vulnérables à des injections de commandes qui contournent les séparations traditionnelles.
• Automatisation Flexible et Imprévisible : Les agents ne suivent pas des workflows préprogrammés mais construisent dynamiquement des chaînes d'actions basées sur des objectifs de haut niveau. Cette non-déterminisme rend la vérification formelle, l'énumération des états atteignables et la prédiction des comportements difficiles.
• Inadéquation des Mécanismes Existants : Les mécanismes de sécurité actuels (sandboxing, politiques de même origine, contrôle d'accès basé sur des rôles statiques) sont conçus pour des environnements déterministes ou des interactions humaines lentes. Ils sont insuffisants face à la vitesse d'exécution machine des agents et à leur capacité à agir avec des privilèges étendus (accès aux fichiers, transactions financières, appels d'API).

2. Méthodologie

Les auteurs, s'appuyant sur l'expérience opérationnelle de Perplexity avec des millions d'utilisateurs et des milliers d'entreprises, adoptent une approche structurée :

• Analyse des Menaces par le Triade CIA : Évaluation des risques pour la Confidentialité, l'Intégrité et la Disponibilité, en distinguant les menaces provenant d'adversaires externes (injection de prompts indirecte) et des défaillances systémiques (boucles infinies, erreurs de modèle).
• Cartographie des Surfaces d'Attaque : Identification des vecteurs d'attaque à travers les outils, les connecteurs, les limites d'hébergement et la coordination multi-agents.
• Évaluation des Défenses en Profondeur : Analyse critique des contrôles existants à trois niveaux :
  1. Niveau Entrée : Détection et filtrage des invites malveillantes.
  2. Niveau Modèle : Renforcement de la hiérarchie des instructions et séparation des rôles au niveau des embeddings.
  3. Niveau Système : Exécution en bac à sable (sandbox) et application de politiques déterministes.
• Études de Cas et Architecture : Utilisation d'exemples concrets (comme la plateforme OpenClaw et le framework CaMeL) pour illustrer les vulnérabilités architecturales et les solutions de séparation du flux de contrôle et du flux de données.

3. Contributions Clés

Le document propose plusieurs contributions majeures pour la communauté de la sécurité de l'IA :

• Théorisation de la Vulnérabilité « Code-Données » : Le document formalise comment les agents LLM réintroduisent les risques d'injection de code (similaires aux débordements de tampon ou aux injections SQL) mais à travers le langage naturel et les données non structurées.
• Identification de Risques Spécifiques aux Agents :
  • Injection de Prompt Indirecte : L'attaque où un adversaire injecte des instructions dans le contenu récupéré par l'agent (web, email, calendrier) pour manipuler son comportement.
  • Comportement « Confused Deputy » (Délégué Confus) : Un agent externe est manipulé pour inciter un agent interne plus privilégié à effectuer des actions non autorisées, contournant ainsi les contrôles d'accès.
  • Défaillances en Cascade : Dans les systèmes multi-agents, l'échec d'un composant peut propager des erreurs ou des boucles de réessai à travers tout le système, menant à une déni de service.
• Architecture de Défense en Profondeur : Plaidoyer pour une approche multicouche où aucune défense unique n'est suffisante. L'accent est mis sur la nécessité d'une couche d'exécution déterministe (liste blanche d'outils, validation de schémas, limites de taux) qui ne dépend pas du raisonnement probabiliste du LLM.
• Recommandations pour les Normes et la Recherche : Appel à la création de benchmarks dynamiques et adaptatifs (plutôt que statiques) et au développement de modèles de contrôle d'accès hybrides combinant RBAC (Role-Based Access Control) et gestion des risques adaptatifs.

4. Résultats et Observations

• Limites des Défenses Actuelles : Les techniques de détection d'intrusion au niveau de l'entrée souffrent du problème de la « base rate fallacy » (taux de faux positifs élevé) et sont coûteuses en calcul. Les défenses au niveau du modèle (hiérarchie des instructions) sont imparfaites car les LLM n'ont pas de compréhension native stricte des rôles et sont biaisés par la proximité temporelle des tokens.
• Nécessité de l'Exécution Déterministe : Les auteurs concluent que la seule garantie de sécurité robuste réside dans des couches d'exécution qui utilisent du code vérifiable (non-LLM) pour bloquer les actions interdites, indépendamment de ce que le modèle génère.
• Complexité Multi-Agents : La coordination entre agents introduit des risques de délégation implicite et de propagation de privilèges qui rendent l'audit et la traçabilité extrêmement difficiles.
• Facteurs Humains : La demande de confirmation humaine pour chaque action critique est souvent contre-productive (fatigue de l'utilisateur), suggérant le besoin de mécanismes d'autonomie consciente du risque.

5. Signification et Implications

Ce document est crucial car il établit une base théorique et pratique pour la sécurité des agents autonomes, un domaine en pleine expansion.

• Pour les Développeurs : Il fournit une feuille de route pour concevoir des architectures sécurisées, en insistant sur la séparation stricte entre la planification (LLM) et l'exécution (contrôle déterministe).
• Pour les Régulateurs (NIST/CAISI) : Il identifie les lacunes dans les normes actuelles et propose des axes de recherche prioritaires, notamment la création de benchmarks d'attaque adaptatifs et de modèles de contrôle d'accès spécifiques aux agents.
• Pour la Recherche : Il met en lumière le besoin urgent de passer de la sécurité statique à la sécurité dynamique, capable de résister à des adversaires qui adaptent leurs stratégies en temps réel face aux défenses de l'agent.

En résumé, le papier souligne que la sécurité des agents d'IA ne peut être une simple extension des pratiques logicielles traditionnelles ; elle nécessite une refonte fondamentale des abstractions de sécurité, intégrant la non-déterminisme des modèles d'IA dans une architecture de défense en profondeur rigoureuse.