Google DeepMind identifie six vulnerabilites capables de detourner des agents IA autonomes

KiloClaw cible l'IA fantôme avec une gouvernance d'agents autonomes

KiloClaw, une plateforme de gouvernance des agents IA développée par l'éditeur logiciel Kilo, vient d'être lancée sous la dénomination KiloClaw for Organizations. Elle cible un phénomène croissant dans les grandes entreprises : le "Bring Your Own AI" (BYOAI), où des employés déploient des agents autonomes sur leurs propres infrastructures sans passer par la DSI. Des ingénieurs qui automatisent l'analyse de logs d'erreurs, des analystes financiers qui orchestrent des scripts locaux pour réconcilier des tableurs — ces agents accèdent aux canaux Slack, aux tableaux Jira et aux dépôts de code privés via des clés API personnelles, totalement hors du contrôle officiel. KiloClaw propose un plan de contrôle centralisé permettant aux équipes de sécurité d'identifier, surveiller et restreindre ces agents sans bloquer leur utilité opérationnelle. L'enjeu dépasse la simple conformité interne. Un agent autonome non supervisé dispose de privilèges d'exécution actifs : il lit, écrit, modifie et supprime des données à des vitesses inaccessibles à l'humain, et envoie souvent des données d'entreprise vers des serveurs d'inférence tiers pour traiter ses requêtes. Si ces fournisseurs utilisent les données ingérées pour entraîner leurs modèles, l'entreprise perd le contrôle de sa propriété intellectuelle. KiloClaw répond à cette menace en émettant des jetons d'accès à durée limitée et à portée étroitement définie, plutôt que de laisser les développeurs brancher des clés API permanentes sur des modèles expérimentaux. Si un agent conçu pour résumer des emails tente de télécharger une base clients, la plateforme détecte la violation de périmètre et révoque immédiatement l'accès. La situation rappelle l'ère "Bring Your Own Device" du début des années 2010, quand les smartphones personnels ont forcé les DSI à adopter des solutions de gestion de terminaux mobiles — mais avec des risques bien plus élevés. Les systèmes classiques de gestion des identités et des accès (IAM) sont conçus pour des humains ou des communications applicatives statiques, pas pour des agents qui chaînent des tâches dynamiquement et formulent de nouvelles requêtes en cours d'exécution. KiloClaw traite les agents comme des entités distinctes nécessitant des permissions restrictives et temporaires. L'approche évite aussi l'écueil d'une interdiction totale, qui pousse généralement les développeurs à dissimuler leurs workflows. En construisant un environnement sanctionné plutôt qu'une liste noire, Kilo parie sur l'adoption volontaire comme levier de conformité réelle.

Google met en garde contre des pages web malveillantes qui empoisonnent les agents IA

Des chercheurs de Google ont mis en lumière une menace croissante qui cible directement les agents IA déployés en entreprise : des pages web publiques contiennent des instructions malveillantes cachées, conçues pour détourner le comportement de ces systèmes autonomes. L'alerte est venue après l'analyse du dépôt Common Crawl, une base de données colossale regroupant des milliards de pages web publiques, où les équipes de sécurité ont découvert des pièges numériques dissimulés dans du code HTML ordinaire. Ces commandes invisibles, rédigées en texte blanc sur fond blanc ou enfouies dans les métadonnées, restent dormantes jusqu'au moment où un agent IA consulte la page pour en extraire des informations. L'agent ingère alors le contenu sans distinguer le texte légitime des instructions malveillantes, et exécute ces dernières avec ses propres privilèges d'accès aux systèmes internes de l'entreprise. Le danger concret est illustré par un scénario précis : un agent IA chargé par un département RH d'analyser le portfolio en ligne d'un candidat ingénieur pourrait se voir ordonner, via une instruction cachée dans ce même site, d'envoyer l'annuaire interne de l'entreprise à une adresse IP externe, puis de rédiger un avis positif sur le candidat. Ce type d'attaque, appelé injection de prompt indirecte, contourne intégralement les défenses existantes. Les pare-feux, les systèmes de détection d'intrusion et les plateformes de gestion des accès ne voient rien d'anormal : l'agent dispose de credentials légitimes, opère sous un compte de service autorisé, et ses actions ressemblent trait pour trait à ses opérations habituelles. Les tableaux de bord d'observabilité IA du marché, qui surveillent l'utilisation des tokens ou la latence des réponses, n'offrent quant à eux aucune visibilité sur l'intégrité des décisions prises. Cette vulnérabilité s'inscrit dans une transformation profonde de la cybersécurité à l'ère des systèmes agentiques. Les chercheurs de Google proposent plusieurs contre-mesures architecturales : déployer un modèle "sanitiseur" isolé, sans privilèges, pour récupérer et nettoyer le contenu web avant de le transmettre au moteur de raisonnement principal ; appliquer les principes du zéro-trust aux agents eux-mêmes, en cloisonnant strictement leurs droits selon leur mission (un agent de veille concurrentielle ne devrait jamais avoir accès en écriture au CRM interne) ; et construire des pistes d'audit capables de retracer la généalogie exacte de chaque décision prise par un système IA. L'enjeu dépasse la simple sécurité informatique : à mesure que les entreprises confient des tâches critiques à des agents autonomes connectés au web, la surface d'attaque s'élargit de façon inédite, sans que les outils de défense traditionnels ne soient en mesure de suivre.

💬 On a filé des accès aux systèmes internes à des agents qui naviguent librement sur le web, et on s'étonne maintenant que ça pose un problème. Le truc redoutable dans l'injection indirecte, c'est que tout a l'air normal de l'extérieur : credentials légitimes, compte autorisé, actions qui ressemblent aux opérations habituelles, les outils de détection ne voient rien. Le modèle sanitiseur isolé, c'est du bon sens, mais combien d'équipes vont vraiment l'implémenter avant qu'un agent RH envoie l'annuaire interne à une adresse inconnue ?

Amazon utilise des agents IA pour la détection de vulnérabilités à grande échelle

En 2025, la base de données nationale des vulnérabilités américaine (NVD) a enregistré plus de 48 000 nouvelles failles de sécurité référencées (CVE), un volume rendu possible en grande partie par la prolifération des outils automatisés de détection. Face à cette explosion, Amazon Web Services a développé RuleForge, un système d'intelligence artificielle agentique conçu pour générer automatiquement des règles de détection à partir d'exemples de code d'exploitation de vulnérabilités. Déployé en production chez AWS, RuleForge affiche une productivité supérieure de 336 % à la création manuelle, tout en conservant le niveau de précision exigé pour des systèmes de sécurité industriels. Les règles produites sont au format JSON et alimentent directement MadPot, le système mondial de "honeypot" d'Amazon qui capture le comportement des attaquants, ainsi que Sonaris, le moteur interne de détection d'exploits suspects. Avant RuleForge, transformer une CVE en règle de détection opérationnelle était un processus entièrement manuel : un analyste téléchargeait le code de preuve de concept, étudiait le mécanisme d'attaque, rédigeait la logique de détection, la validait par itérations successives contre les journaux de trafic, puis soumettait le tout à une revue par un second ingénieur avant déploiement. Ce cycle, rigoureux mais lent, obligeait les équipes à prioriser strictement les vulnérabilités traitées, laissant potentiellement des failles critiques sans couverture. RuleForge comprime ce délai de façon drastique : le système ingère automatiquement le code d'exploitation public, attribue un score de priorité via une analyse de contenu croisée avec des sources de threat intelligence, puis génère en parallèle plusieurs règles candidates via un agent tournant sur AWS Fargate avec Amazon Bedrock. Chaque candidate est évaluée non pas par le modèle qui l'a produite, mais par un agent "juge" distinct, évitant ainsi l'auto-validation biaisée. Les humains restent dans la boucle pour l'approbation finale avant mise en production. Cette architecture reflète une tendance profonde dans la sécurité offensive et défensive : l'automatisation par IA ne remplace pas les experts, elle leur permet de travailler à une échelle autrement inaccessible. AWS anticipe une croissance continue du nombre de CVE à haute sévérité publiées, portée par les mêmes outils d'IA qui accélèrent la découverte de failles côté attaquants. RuleForge représente la réponse symétrique côté défense, en industrialisant la réactivité. L'approche modulaire, avec des agents spécialisés pour la génération, l'évaluation et le raffinement, plutôt qu'un seul modèle monolithique, s'inscrit dans la lignée des architectures multi-agents qui émergent comme standard pour les tâches complexes nécessitant fiabilité et auditabilité. D'autres grands acteurs du cloud font face aux mêmes défis, et la publication par Amazon des détails de RuleForge suggère une volonté de positionner cette approche comme référence sectorielle.

La gouvernance peut-elle suivre vos ambitions en IA ? Gestion du risque à l'ère des agents autonomes

L'ère de l'IA agentique bouleverse les fondements de la gouvernance informatique traditionnelle. Là où les systèmes DevOps classiques produisaient des résultats déterministes — même entrée, même sortie, dépendances connues — les agents IA opèrent de façon non déterministe : posez la même question deux fois, vous obtenez deux réponses différentes. Ces agents sélectionnent eux-mêmes leurs outils, adaptent leurs raisonnements et agissent de manière autonome. Face à ce constat, AWS Generative AI Innovation Center a développé une solution appelée AI Risk Intelligence (AIRI), un système de gouvernance automatisée qui centralise les évaluations de sécurité, d'opérations et de conformité en un seul tableau de bord couvrant l'ensemble du cycle de vie agentique. La solution s'appuie sur le cadre AWS Responsible AI Best Practices, construit à partir de l'expérience acquise sur des centaines de milliers de déploiements IA. L'enjeu est concret : les cadres de gouvernance IT conçus pour des déploiements statiques sont incapables de gérer les interactions complexes des systèmes multi-agents. Un scénario illustratif le démontre clairement — et figure dans le Top 10 OWASP des vulnérabilités agentiques pour 2026. Un assistant IA d'entreprise, légitimement autorisé à accéder aux e-mails, au calendrier et au CRM, reçoit via un e-mail des instructions malveillantes dissimulées. Lorsqu'un utilisateur demande un résumé anodin, l'agent compromis suit ces directives cachées : il fouille des données sensibles et les exfiltre via des invitations calendrier, tout en affichant une réponse bénigne. Les outils classiques de prévention des fuites de données et de surveillance réseau ne détectent rien — car l'agent agit dans le strict périmètre de ses permissions légitimes. La violation est invisible aux yeux des systèmes traditionnels. Ce cas révèle la nature systémique du risque agentique : une faille de sécurité se propage simultanément à travers plusieurs dimensions. L'action d'un agent en déclenche d'autres, les contrôles d'accès ne sont pas réévalués en continu pendant l'exécution, aucun point de contrôle humain ne s'interpose avant une action à haut risque, et les responsables de la conformité ne peuvent pas interpréter les données de monitoring pour détecter l'anomalie à temps. C'est pourquoi AIRI entend fusionner sécurité, opérations et gouvernance en un dispositif intégré plutôt qu'en silos séparés. Dans un contexte où les entreprises accélèrent leurs déploiements d'agents autonomes — pour automatiser des workflows, piloter des décisions, interagir avec des systèmes critiques — la question n'est plus seulement de savoir si l'IA fonctionne, mais si l'organisation peut réellement maîtriser ce qu'elle fait.