Toward Securing AI Agents Like Operating Systems

Ce papier soutient que la sécurisation des agents d'IA basés sur les LLM nécessite l'application des principes de sécurité des systèmes d'exploitation, démontrant, grâce à une analyse d'architecture unifiée et à une étude de cas, que, bien que certains risques soient inhérents, de nombreuses vulnérabilités peuvent être atténuées en utilisant des techniques OS éprouvées telles que l'isolation des ressources et la séparation des privilèges.

L'essentiel

Imaginez que vous ayez embauché un assistant personnel super-intelligent et incroyablement motivé nommé « Agent ». Cet assistant peut lire vos e-mails, gérer votre calendrier, réserver des vols et même écrire du code pour vous. C'est comme avoir un employé magique qui ne dort jamais.

Mais voici le hic : vous avez donné à cet employé les clés de toute votre maison, de votre compte bancaire et de votre journal intime. Si un voleur astucieux parvient à tromper l'assistant en lui faisant croire qu'il est vous, ou à le convaincre d'ouvrir la porte arrière, le voleur obtient tout.

C'est le problème central que l'article aborde. Les auteurs soutiennent que nous construisons ces agents IA comme s'il s'agissait de créatures magiques toutes neuves, alors que nous devrions en réalité les traiter comme des Systèmes d'Exploitation (le logiciel qui fait fonctionner votre ordinateur, comme Windows ou macOS).

Voici la décomposition de leurs découvertes, utilisant des analogies simples :

1. La Grande Idée : L'Agent est le Système d'Exploitation

Les auteurs disent : « Arrêtez de considérer l'IA comme un simple chatbot. Considérez-la comme le Système d'Exploitation de votre vie numérique. »

• L'IA (LLM) est l'Utilisateur : Dans un ordinateur, l'utilisateur tape des commandes. Dans un agent IA, le Modèle de Langage à Grande Échelle (le « cerveau ») est celui qui tape les commandes. Mais tout comme un utilisateur humain peut être trompé par un e-mail de hameçonnage, une IA peut être trompée par un « prompt de contournement » (jailbreak).
• Les Outils sont des Appels Système : Lorsque vous cliquez sur « Imprimer » sur votre ordinateur, le Système d'Exploitation vérifie si vous avez l'autorisation. Lorsqu'une IA veut « envoyer un e-mail », c'est un outil. L'article soutient que ces outils devraient être traités comme des appels système stricts, et non comme des commandes sans restriction.
• L'Environnement d'Exécution est le Noyau : La partie du logiciel qui exécute réellement le code est le « Noyau ». Dans un ordinateur sécurisé, le Noyau est le patron. Il décide qui a le droit de toucher quoi. Dans les agents IA actuels, le « Noyau » est souvent trop gentil et laisse l'« Utilisateur » (l'IA) faire ce qu'il veut, même si c'est dangereux.

2. Le Problème : La Fête « Maison Ouverte »

L'article examine des agents IA populaires (comme OpenClaw et ses cousins) et constate qu'ils sont construits comme une maison ouverte où n'importe qui peut entrer et toucher n'importe quoi.

• Pas de Murs : Dans un ordinateur sécurisé, différents programmes sont isolés. Si un virus infecte votre application de calculatrice, elle ne devrait pas pouvoir lire vos fichiers bancaires. Mais dans ces agents IA, la « calculatrice » (un outil) et les « fichiers bancaires » (mémoire) sont tous dans la même pièce. Si l'IA se trompe, elle peut les mélanger accidentellement (ou malicieusement).
• Le Piège du « Faites-Moi Confiance » : Ces agents reposent sur l'IA pour « se souvenir » d'être sûre. Ils ont des règles comme « Ne supprimez pas de fichiers », mais elles sont simplement écrites en anglais courant. Si un pirate murmure une astuce à l'IA, celle-ci oublie la règle. C'est comme demander à un gardien de faire le guet en lui disant : « Utilisez simplement votre meilleur jugement. »
• Le Risque « Tiers » : Ces agents vous permettent d'installer des « compétences » (comme des applications). Imaginez que vous puissiez télécharger une « Application Météo » qui aurait secrètement une porte dérobée vers votre compte bancaire. L'article a constaté que de nombreux agents permettent d'installer ces compétences sans vérifier si elles sont sûres.

3. L'Expérience : Briser les Agents

Les chercheurs ont pris quatre agents IA populaires et ont essayé de les briser, en agissant comme un pirate informatique d'un niveau de compétence modeste. Ils n'avaient pas besoin d'être des génies ; ils avaient juste besoin de savoir comment la « maison » était construite.

Ce qu'ils ont découvert :

• OpenClaw (L'Agent « Naturel ») : C'était le plus populaire. Il était vulnérable à chaque attaque que les chercheurs ont tentée. C'était comme laisser la porte d'entrée, la porte arrière et les fenêtres grand ouvertes.
• IronClaw (L'Agent « Sécurité ») : Celui-ci essayait d'être plus sûr. Il a mis certains outils dans un « bac à sable » (une boîte en verre où ils ne peuvent pas toucher le reste de la maison). Il s'en est mieux sorti, mais les chercheurs ont encore trouvé des moyens de le tromper ou de briser le verre.
• Nanobot (L'Agent « Minimal ») : Celui-ci avait très peu de code, espérant que moins de code signifie moins de bugs. Mais même avec une petite base de code, il manquait toujours les « murs » de base nécessaires pour séparer les données.
• NemoClaw (L'Agent « Conteneur ») : Celui-ci a placé tout l'agent dans un conteneur sécurisé (comme un conteneur d'expédition). C'était le plus difficile à briser, mais les chercheurs ont encore trouvé un moyen de regarder à l'intérieur ou de le tromper.

Le Résultat Choquant : Même les versions « sécurisées » ont échoué dans des tâches de base, comme empêcher un utilisateur de lire les notes privées d'un autre utilisateur, ou empêcher l'agent d'envoyer des messages à des inconnus.

4. La Solution : Emprunter au Passé

La conclusion principale de l'article est simple : Nous n'avons pas besoin d'inventer une nouvelle magie pour résoudre ce problème. Nous devons simplement utiliser les règles de sécurité que nous connaissons depuis 50 ans.

Les systèmes d'exploitation ont résolu ces mêmes problèmes auparavant. Les auteurs suggèrent d'appliquer ces règles anciennes à l'IA :

• Isolation : Mettez chaque outil dans sa propre boîte en verre (bac à sable) afin qu'il ne puisse pas toucher les autres outils ou vos fichiers privés, sauf autorisation explicite.
• Privilège Minimum : Juste parce que l'agent peut lire votre e-mail ne signifie pas qu'il devrait. Donnez-lui uniquement les clés dont il a besoin pour la tâche spécifique à accomplir.
• Journalisation Renforcée : Tenez un registre de tout ce que fait l'agent, mais assurez-vous que l'agent ne peut pas supprimer ou modifier ces registres (comme une caméra de sécurité inviolable).
• Limites Strictes : Ne laissez pas l'IA décider de ce qui est sûr. Le « Noyau » (le système) doit faire respecter les règles, et non le « cerveau » de l'IA.

Résumé

L'article soutient que les agents IA sont actuellement construits comme des frontières sauvages et non réglementées. Ils sont puissants mais dangereux car ils mélangent des données sensibles avec des instructions non fiables.

Les auteurs disent : « Arrêtez d'essayer de rendre l'IA « plus intelligente » pour qu'elle soit sûre. À la place, construisez le système autour d'elle comme un Système d'Exploitation sécurisé. » Si nous traitons l'IA comme un utilisateur qui doit être surveillé et restreint par un gardien de sécurité strict (le Système d'Exploitation), nous pouvons rendre ces outils puissants sûrs à utiliser dans nos maisons et nos entreprises.

L'Essentiel : Nous construisons des employés numériques avec des clés maîtresses pour nos vies, mais nous n'avons pas encore construit les serrures, les clôtures ou les gardes de sécurité. Il est temps d'emprunter les plans aux experts en sécurité informatique qui construisent ces serrures depuis des décennies.

Résumé technique

Résumé technique : Vers la sécurisation des agents IA à l'image des systèmes d'exploitation

Énoncé du problème

Les agents autonomes basés sur les grands modèles de langage (LLM) évoluent d'assistants spécialisés vers des systèmes polyvalents capables de planifier et d'exécuter des tâches complexes, avec accès à des données utilisateurs sensibles, à des fichiers locaux et à des services externes. Bien que des systèmes comme OpenClaw offrent une utilité significative grâce à l'utilisation d'outils et de compétences tierces, ils introduisent des risques de sécurité substantiels. La recherche actuelle se concentre souvent de manière étroite sur l'injection de prompts, tandis que la surface d'attaque plus large — comprenant l'extensibilité d'exécution, l'état persistant et l'accès non médiatisé à des fonctionnalités privilégiées — reste sous-analysée. Les mécanismes de protection existants dans les implémentations d'agents populaires sont souvent insuffisants, échouant à prévenir l'exfiltration de données, l'élévation de privilèges ou l'accès système non autorisé, même face à des capacités d'attaquant modestes. L'article soutient que les défis de sécurité auxquels sont confrontés les agents IA sont structurellement similaires à ceux résolus historiquement par les systèmes d'exploitation (OS), pourtant les conceptions actuelles d'agents violent fréquemment des principes fondamentaux de sécurité des OS tels que l'isolation, la séparation des privilèges et la médiation.

Méthodologie

Les auteurs emploient une méthodologie à trois volets pour investiguer la sécurité des agents :

1. Analogie conceptuelle et dérivation d'architecture : L'article établit une analogie structurelle entre les agents IA et les systèmes d'exploitation. Il mappe les composants des agents vers des concepts OS : le LLM agit comme un utilisateur non fiable, les outils et compétences correspondent aux appels système et programmes, l'environnement d'exécution de l'agent fonctionne comme le noyau, et le contexte de l'agent ressemble à la mémoire du processus. Sur la base de cette analogie, les auteurs dérivent une architecture unifiée pour les agents de type OpenClaw, identifiant les composants clés (cœur d'exécution, cœur de l'agent, passerelles, état persistant/éphémère) et les limites de confiance.

2. Cartographie systématique des défenses : Les auteurs recensent les mécanismes de sécurité OS établis (par exemple, isolation des processus, mise en cage, principe du moindre privilège, filtrage réseau, prévention de l'exécution de données) et les transposent à leurs équivalents agentic. Ils analysent quels mécanismes se transfèrent directement, lesquels nécessitent une adaptation, et quelles capacités des agents restent par conception non sécurisées.

3. Étude de cas empirique : Pour valider leur analyse, les auteurs évaluent quatre agents OpenClaw open-source largement utilisés, représentant différentes philosophies de conception :

   • OpenClaw : Une variante « vanilla » axée sur l'étendue des fonctionnalités.
   • IronClaw : Une variante « sécurité » priorisant l'isolation et la mise en cage.
   • Nanobot : Une variante « minimaliste » avec une base de code réduite.
   • NemoClaw : Une variante « wrapper » exécutant un agent à l'intérieur d'un conteneur sécurisé.

   L'évaluation utilise un environnement contrôlé (machines virtuelles Debian 13.4) avec une surveillance basée sur eBPF pour observer les appels système, l'accès aux fichiers et le trafic réseau. Les auteurs définissent un modèle de menace où l'attaquant possède une connaissance complète du code source mais aucun accès direct au matériel ou au niveau hôte, traitant le LLM comme un composant totalement non fiable susceptible de manipulation. Ils exécutent une série de scénarios d'attaque réalistes ciblant les interfaces matérielles, l'isolation des processus, la mise en cage, le filtrage réseau et la journalisation système.

Contributions clés

• Perspective de sécurité OS sur les agents IA : L'article établit une analogie formelle entre les agents IA et les systèmes d'exploitation, fournissant un cadre pour raisonner sur la sécurité des agents en utilisant des concepts établis comme l'isolation, la séparation des privilèges et la médiation.
• Architecture d'agent unifiée : Il dérive une architecture consolidée pour les agents de type OpenClaw définissant explicitement les composants, les limites de confiance et les canaux de communication, facilitant ainsi une analyse de sécurité systématique.
• Transfert systématique des défenses OS : Les auteurs cartographient les mécanismes de défense OS vers le domaine agentic, les catégorisant par leur applicabilité et identifiant les lacunes où les conceptions d'agents actuelles échouent à appliquer des principes de sécurité fondamentaux.
• Évaluation empirique : L'étude fournit une évaluation empirique complète de quatre environnements d'exécution d'agents populaires, démontrant que les mécanismes de protection actuels échouent souvent en pratique et que les vulnérabilités peuvent être expliquées et atténuées à l'aide de techniques de niveau OS.

Résultats

L'étude de cas révèle qu'aucun des quatre agents évalués ne peut se défendre contre tous les vecteurs d'attaque testés. Les découvertes clés incluent :

• Vulnérabilités répandues : Même les agents conçus avec la sécurité à l'esprit (par exemple, IronClaw) sont sensibles à des attaques spécifiques, telles que la manipulation de configuration ou l'extraction de prompts système, souvent en raison d'une implémentation incomplète de la mise en cage ou de la séparation des privilèges.
• Échec de l'isolation : Une découverte critique est que les quatre agents injectent des données fiables et non fiables dans un contexte LLM partagé, violant le principe d'isolation des processus. Cela permet aux sorties intermédiaires d'un outil d'influencer les outils subséquents, permettant des attaques comme l'injection de commandes shell.
• Violations de la séparation des privilèges : Le contrôle d'accès aux fichiers est souvent appliqué au même niveau de privilège que le traitement des entrées, plutôt que d'être médiatisé par un moniteur de référence à privilèges inférieurs.
• Mise en cage inefficace : Bien que la mise en cage (par exemple, WebAssembly dans IronClaw, conteneurs dans NemoClaw) puisse bloquer efficacement certains vecteurs d'attaque, des implémentations partielles ou mal configurées laissent des lacunes significatives. Par exemple, NemoClaw était vulnérable à l'extraction de prompts système malgré sa conception en conteneur.
• Faiblesses universelles : Deux classes de faiblesses ont été observées chez tous les agents : l'exfiltration de données inter-utilisateurs (manque d'isolation des processus au niveau utilisateur) et l'envoi de messages non autorisé (manque de filtrage de sortie strict).
• Indépendance du LLM : L'étude confirme que ces vulnérabilités découlent de l'architecture de l'agent et de la conception de l'environnement d'exécution plutôt que des capacités de raisonnement spécifiques du LLM, car les attaques ont réussi sur différents modèles (Qwen, Gemini, GPT).

Signification et affirmations

L'article affirme que sécuriser les agents IA est une tâche ardue en raison de leur vaste et hétérogène surface d'attaque, mais que des progrès significatifs sont à portée de main en tirant parti de décennies de recherche sur la sécurité des systèmes d'exploitation. Les auteurs soutiennent que :

1. L'analyse rétrospective est précieuse : De nombreux défis de sécurité dans les agents IA ne sont pas entièrement nouveaux mais sont des manifestations de problèmes OS classiques. Revisiter les approches OS établies fournit un cadre principiel pour sécuriser les systèmes agentic.
2. La défense en profondeur est requise : Se fier uniquement à des défenses centrées sur le LLM (comme l'atténuation de l'injection de prompts) est insuffisant. Une opération sécurisée nécessite une connaissance détaillée du système, une configuration prudente et la mise en œuvre de défenses en couches incluant l'isolation, la séparation des privilèges et la médiation.
3. Les défauts de conception sont inhérents aux systèmes actuels : Certaines capacités agentic restent non sécurisées par conception car elles violent des principes fondamentaux comme le moindre privilège et l'isolation des processus. Cependant, de nombreuses vulnérabilités peuvent être atténuées à l'aide de techniques OS bien comprises.
4. Mesures immédiates et actionnables : Les auteurs concluent que la simple consolidation des mécanismes de sécurité partiels déjà déployés à travers différentes implémentations (par exemple, combiner la mise en cage, le filtrage réseau et la journalisation) produirait des améliorations de sécurité significatives sans nécessiter de recherche novatrice.

L'article se positionne non pas comme une solution finale, mais comme une étape nécessaire vers la structuration de la surface d'attaque des agents IA et l'orientation des futures conceptions vers un état plus sécurisé, ancré dans les principes de sécurité des OS.