Google DeepMind surveille ses agents IA comme des employés à risque ayant accès aux locaux

Google DeepMind s'interroge sur les risques liés aux interactions entre des millions d'agents autonomes

Google DeepMind vient d'annoncer la création d'un fonds de 10 millions de dollars destiné à financer la recherche sur les risques liés aux systèmes multi-agents. L'initiative réunit Schmidt Sciences, fondation philanthropique d'Eric et Wendy Schmidt, l'agence britannique ARIA, la Cooperative AI Foundation et Google.org. L'objectif : comprendre ce qui se passe lorsque des millions d'agents IA autonomes commencent à interagir entre eux à grande échelle, un scénario que Rohin Shah, directeur de la recherche sur la sécurité de l'AGI chez Google DeepMind, considère comme une nouvelle catégorie de risque encore largement inexploré. Shah estime qu'il reste encore quelques mois avant que les agents soient déployés en nombre suffisant dans l'économie pour que ces risques deviennent une préoccupation concrète, mais il veut prendre de l'avance. La menace principale n'est pas science-fiction : il s'agit d'une version amplifiée des dangers qui existent déjà sur internet. Les chercheurs s'inquiètent notamment des arnaques automatisées à grande échelle, des injections de prompts malveillantes, où un agent IA reçoit des instructions frauduleuses et se transforme en logiciel malveillant autonome, et d'autres formes de cyberattaques pilotées par des agents. James Fox, qui dirige le programme Science of Trustworthy AI chez Schmidt Sciences, résume l'enjeu ainsi : les "communs numériques" sur lesquels repose le fonctionnement de nos sociétés ne doivent pas basculer dans l'anarchie. Le problème est que le comportement de millions d'agents en interaction simultanée ne peut pas se déduire de l'étude d'agents isolés ou en petits groupes. Les modèles de langage ne se comportent pas toujours de façon rationnelle, et la complexité émerge précisément du volume des interactions. Ce financement s'inscrit dans un contexte où Google DeepMind avait fait des outils agentiques le point central de son Google I/O de mai 2026, et où Anthropic venait tout juste de publier des lignes directrices pour déployer des agents IA selon une approche "zero trust" inspirée de la cybersécurité. Le constat partagé par ces acteurs est qu'il n'existe pas encore de champ de recherche constitué autour de la sécurité multi-agents : "Nous aimerions qu'il en existe un", dit Shah. L'argent vise explicitement à stimuler la recherche académique, seule à même de regarder loin dans le futur sans les contraintes des laboratoires industriels. Certains chercheurs, dont une équipe de Google DeepMind elle-même, avancent que l'intelligence artificielle générale pourrait émerger non d'un modèle unique ultra-puissant, mais d'un réseau d'agents dont les capacités collectives dépasseraient la somme des parties, ce qui rend la question de leur comportement en groupe d'autant plus urgente.

Google met en garde contre des pages web malveillantes qui empoisonnent les agents IA

Des chercheurs de Google ont mis en lumière une menace croissante qui cible directement les agents IA déployés en entreprise : des pages web publiques contiennent des instructions malveillantes cachées, conçues pour détourner le comportement de ces systèmes autonomes. L'alerte est venue après l'analyse du dépôt Common Crawl, une base de données colossale regroupant des milliards de pages web publiques, où les équipes de sécurité ont découvert des pièges numériques dissimulés dans du code HTML ordinaire. Ces commandes invisibles, rédigées en texte blanc sur fond blanc ou enfouies dans les métadonnées, restent dormantes jusqu'au moment où un agent IA consulte la page pour en extraire des informations. L'agent ingère alors le contenu sans distinguer le texte légitime des instructions malveillantes, et exécute ces dernières avec ses propres privilèges d'accès aux systèmes internes de l'entreprise. Le danger concret est illustré par un scénario précis : un agent IA chargé par un département RH d'analyser le portfolio en ligne d'un candidat ingénieur pourrait se voir ordonner, via une instruction cachée dans ce même site, d'envoyer l'annuaire interne de l'entreprise à une adresse IP externe, puis de rédiger un avis positif sur le candidat. Ce type d'attaque, appelé injection de prompt indirecte, contourne intégralement les défenses existantes. Les pare-feux, les systèmes de détection d'intrusion et les plateformes de gestion des accès ne voient rien d'anormal : l'agent dispose de credentials légitimes, opère sous un compte de service autorisé, et ses actions ressemblent trait pour trait à ses opérations habituelles. Les tableaux de bord d'observabilité IA du marché, qui surveillent l'utilisation des tokens ou la latence des réponses, n'offrent quant à eux aucune visibilité sur l'intégrité des décisions prises. Cette vulnérabilité s'inscrit dans une transformation profonde de la cybersécurité à l'ère des systèmes agentiques. Les chercheurs de Google proposent plusieurs contre-mesures architecturales : déployer un modèle "sanitiseur" isolé, sans privilèges, pour récupérer et nettoyer le contenu web avant de le transmettre au moteur de raisonnement principal ; appliquer les principes du zéro-trust aux agents eux-mêmes, en cloisonnant strictement leurs droits selon leur mission (un agent de veille concurrentielle ne devrait jamais avoir accès en écriture au CRM interne) ; et construire des pistes d'audit capables de retracer la généalogie exacte de chaque décision prise par un système IA. L'enjeu dépasse la simple sécurité informatique : à mesure que les entreprises confient des tâches critiques à des agents autonomes connectés au web, la surface d'attaque s'élargit de façon inédite, sans que les outils de défense traditionnels ne soient en mesure de suivre.

💬 On a filé des accès aux systèmes internes à des agents qui naviguent librement sur le web, et on s'étonne maintenant que ça pose un problème. Le truc redoutable dans l'injection indirecte, c'est que tout a l'air normal de l'extérieur : credentials légitimes, compte autorisé, actions qui ressemblent aux opérations habituelles, les outils de détection ne voient rien. Le modèle sanitiseur isolé, c'est du bon sens, mais combien d'équipes vont vraiment l'implémenter avant qu'un agent RH envoie l'annuaire interne à une adresse inconnue ?

Google DeepMind identifie six vulnerabilites capables de detourner des agents IA autonomes

Des chercheurs de Google DeepMind ont publié la première cartographie systématique des attaques capables de détourner des agents IA autonomes dans des environnements réels. L'étude recense six grandes catégories de vulnérabilités — baptisées « pièges » — que des sites web, documents ou API malveillants peuvent exploiter pour manipuler, tromper ou prendre le contrôle d'un agent opérant de façon indépendante. Ces travaux interviennent alors que les agents IA commencent à être déployés à grande échelle pour naviguer sur le web, gérer des boîtes mail et exécuter des transactions sans supervision humaine. L'enjeu est considérable : contrairement à un simple chatbot, un agent autonome dispose de capacités d'action réelles — il peut envoyer des e-mails, effectuer des achats, modifier des fichiers. Si son comportement est détourné par une instruction malveillante cachée dans une page web ou un document (technique dite d'injection de prompt indirect), les conséquences peuvent dépasser le simple biais de réponse pour atteindre des actes concrets et potentiellement irréversibles. L'étude offre aux développeurs un cadre commun pour anticiper et corriger ces failles avant déploiement. Ce travail s'inscrit dans une préoccupation croissante autour de la sécurité des systèmes agentiques, un domaine encore jeune mais en expansion rapide. OpenAI, Anthropic et Microsoft ont tous lancé leurs propres frameworks d'agents ces derniers mois, sans qu'existe jusqu'ici de taxonomie partagée des risques. En formalisant ces six catégories d'attaques, Google DeepMind pose les bases d'un standard de sécurité pour l'ensemble de l'industrie, à l'heure où la question de la supervision humaine des agents devient un sujet de régulation émergent en Europe et aux États-Unis.

💬 Six catégories, enfin du concret. Depuis que tout le monde sort ses frameworks d'agents, on parle beaucoup de ce qu'ils peuvent faire, beaucoup moins de ce qui peut mal tourner quand un site malveillant glisse une instruction cachée dans une page web. L'injection de prompt indirect sur un agent qui peut envoyer des mails ou passer des commandes, c'est pas un bug académique. Reste à voir si l'industrie adopte cette taxonomie ou si chacun continue dans son coin à réinventer sa propre checklist de sécurité.

Des applications de surveillance cherchent à empêcher les agents IA de dériver

Face aux dérives des agents IA autonomes — qui ont déjà causé des incidents de sécurité et des pannes chez Meta et Amazon — de grandes entreprises comme ServiceNow, ainsi que plusieurs startups, développent une nouvelle catégorie de logiciels baptisés "agents IA gardiens". Ces outils de surveillance prennent la forme d'applications cloud conçues pour détecter et stopper les comportements erratiques ou dangereux d'autres agents IA avant qu'ils ne causent des dommages. Concrètement, ces agents gardiens se connectent aux agents IA déjà déployés en entreprise — qu'ils soient construits avec OpenClaw, Claude Code ou Salesforce Agentforce — via des interfaces de programmation standard ou des serveurs MCP (Model Context Protocol). Une fois en place, ils surveillent en temps réel les actions des agents supervisés et peuvent intervenir si ceux-ci s'écartent de leur mission. La mise en place reste cependant fastidieuse : chaque connexion doit être configurée manuellement, ce qui freine l'adoption à grande échelle. L'émergence de ces outils reflète une tension croissante dans l'industrie : les entreprises déploient des agents IA de plus en plus autonomes pour automatiser des tâches complexes, mais peinent à en contrôler les effets de bord. Les incidents chez des acteurs aussi matures que Meta et Amazon illustrent que même les équipes les plus aguerries ne sont pas à l'abri. La question du contrôle et de la gouvernance des agents IA autonomes s'impose désormais comme un enjeu stratégique central pour 2026, ouvrant un marché potentiellement lucratif pour les acteurs qui sauront proposer des solutions fiables et simples à déployer.

💬 Des agents pour surveiller les agents, on y est. C'est un peu absurde sur le papier, mais quand Meta et Amazon ont des incidents en prod avec leurs propres systèmes, tu te dis que le problème est réel et pas juste théorique. La vraie limite pour l'instant c'est l'intégration manuelle, un agent gardien qui demande autant de config que l'agent qu'il surveille, ça va freiner tout le monde.