Selon le dirigeant de l'auditeur de sécurité blockchain CertiK, la ruée mondiale vers le déploiement d'agents IA autonomes sur Internet, dans les réseaux d'entreprise et les applications grand public crée un passif de sécurité catastrophique.
Alors que les entreprises commercialisent ambitieusement ces outils comme des miracles de productivité, la réalité crue est que cela peut être une action très, très risquée. Les agents IA non isolés et non vérifiés constituent une catastrophe de sécurité massive qui ne demande qu'à se produire, a déclaré Ronghui Gu, cofondateur et PDG de CertiK, à CoinDesk.
Gu a averti que les utilisateurs exposent potentiellement leurs fichiers les plus sensibles, leurs identifiants locaux et leurs comptes financiers à des systèmes autonomes qui peuvent être facilement manipulés, piratés et faire l'objet d'arnaques ouvertes.
« Actuellement, les agents ne se contentent plus de répondre à des questions dans une fenêtre de chat », a déclaré Gu à CoinDesk à la suite du rapport d'analyse approfondi historique de CertiK sur l'infrastructure généralisée des agents. « Ils commencent à appeler des outils externes, à lire des fichiers locaux, à déclencher des flux de travail et à interagir avec l'infrastructure financière. Mais si vous n'isolez pas l'environnement d'exécution et ne scannez pas ces outils au préalable, vous remettez une identité compromise disposant d'un accès interne étendu à l'ensemble de votre réseau. »
La faille fondamentale dans l'engouement actuel pour les agents IA réside dans un modèle de confiance erroné, selon Gu.
Charles Hoskinson, fondateur et PDG d'Input Output (Cardano), a déclaré qu'en 2035, ils deviendront plus pertinents que les humains sur Internet. Le PDG de Coinbase, Brian Armstrong, a récemment déclaré qu'« il y aura très bientôt plus d'agents IA que d'humains effectuant des transactions » et le fondateur de Binance, Changpeng Zhao, a prédit qu'ils « effectueront un million de fois plus de paiements que les humains ».
La menace interne ultime
Gu a indiqué que de nombreuses applications IA populaires et open source sont construites sur l'hypothèse que, parce qu'elles s'exécutent localement sur l'ordinateur de l'utilisateur ou se connectent via des applications de chat standard comme WhatsApp, elles sont à l'abri des menaces externes.
La réalité est exactement l'inverse, a-t-il souligné. Dès qu'un utilisateur accorde à un agent IA l'autorisation de lire le stockage local du système, de consulter les historiques d'exécution ou de gérer les identifiants de messagerie personnelle et de bases de données professionnelles, cet agent devient la menace interne ultime.
La récente analyse de CertiK sur les structures d'agents en phase initiale et à croissance rapide a révélé une accumulation stupéfiante de vulnérabilités de sécurité, notamment des centaines d'avis de sécurité critiques, des vulnérabilités et expositions courantes (CVE) non corrigées et d'autres expositions massives d'identifiants locaux et de mémoires de session résultant de vérifications de limites totalement incohérentes.
Plus alarmant encore, la facilité avec laquelle ces systèmes autonomes peuvent être entièrement redirigés au niveau de la couche de raisonnement sans qu'une seule ligne de code malveillant ne soit écrite, a souligné Gu.
Grâce à des attaques basiques d'« injection de prompt », un acteur malveillant peut intégrer des instructions cachées en langage naturel dans une page web bénigne, un document PDF ou un e-mail entrant, a-t-il ajouté.
Lorsque l'agent IA non isolé lit ce fichier pour traiter une tâche pour l'utilisateur, il ne parvient pas à séparer les commandes système fiables des données externes non fiables, a expliqué Gu. L'agent écrase alors silencieusement ses règles d'origine, obéit à l'instruction malveillante et peut être contraint d'exfiltrer des données ou de déclencher des transferts de fonds non autorisés.
Exploits hyperrapides
Gu a révélé que CertiK avait découvert des centaines de compétences malveillantes, de faux installateurs et de packages de dépendances imitateurs directement sur les hubs d'utilitaires d'agents ouverts. Parce que ces plugins malveillants utilisent un langage naturel standard pour influencer subtilement le comportement de l'agent et modifier ses objectifs, ils contournent complètement les logiciels antivirus traditionnels basés sur les signatures.
« Les applications d'arnaque utilisent le langage naturel pour influencer le comportement, ce qui les rend totalement résistantes aux analyses antivirus traditionnelles », a expliqué Gu. « Et actuellement, il est encore plus facile d'arnaquer une machine qu'un humain. »
Dans ce que Gu décrit comme une évolution bizarre de la criminalité financière, la télémétrie de CertiK a observé une explosion d'arnaques automatisées onchain qui ne fonctionnent que 10 minutes ou quelques heures avant de disparaître complètement.
Ces exploits hyperrapides et éphémères sont spécifiquement conçus par des pirates pour cibler et arnaquer d'autres bots de trading IA autonomes et des systèmes d'agents automatisés, exécutant des drainages financiers de machine à machine avant même qu'un humain ne réalise qu'une compromission a eu lieu.
Gu affirme que l'industrie du génie logiciel doit abandonner complètement sa dépendance aux interactions basées sur la confiance et passer immédiatement à une architecture isolée « Zero Trust » (Confiance Zéro), où chaque commande et dépendance est continuellement vérifiée.