91% présentent des vulnérabilités, 94% des agents IA vulnérables à l'empoisonnement : un véritable « chaos » en matière de sécurité

L’agent AI autonome s’infiltre à une vitesse étonnante dans les domaines de la santé, de la finance et des opérations d’entreprise, mais la plus grande étude de sécurité à ce jour révèle que : la majorité des agents en production présentent de graves vulnérabilités, et les méthodes d’évaluation de sécurité actuelles sont presque impuissantes face à ces menaces.

Récemment, une équipe de recherche conjointe de Stanford, MIT CSAIL, Carnegie Mellon, ITU Copenhague et NVIDIA a découvert que, parmi 847 déploiements d’agents intelligents autonomes en production évalués, 91 % présentent des vulnérabilités d’attaque par chaîne d’outils, 89,4 % présentent un décalage d’objectif après environ 30 étapes d’exécution, et 94 % des agents à mémoire renforcée font face à un risque de « poisoning ». La recherche a identifié 2 347 vulnérabilités inconnues auparavant, dont 23 % ont été classées comme graves.

L’auteur principal de l’étude, Owen Sakawa, cite l’incident « OpenClaw/Moltbook » début 2026 pour confirmer que cette menace est passée de la théorie à la réalité : une seule vulnérabilité dans la base de données de la plateforme Moltbook a permis de compromettre simultanément 770 000 agents AI en fonctionnement, chacun disposant d’un accès privilégié à l’appareil de l’utilisateur, à ses emails et fichiers. « Ce n’est plus une menace hypothétique, » déclare Sakawa.

Cela constitue un avertissement direct pour les entreprises et investisseurs qui accélèrent leur déploiement d’agents AI : les cadres d’évaluation de sécurité dominants sont basés sur des modèles de langage sans état, incapables d’identifier les vulnérabilités combinatoires émergentes lors d’exécutions multi-étapes, ce qui signifie que de nombreuses entreprises pourraient sous-estimer systématiquement la sécurité réelle de leurs agents AI. Gary Marcus, expert en psychologie cognitive et en IA, commente : « Les agents autonomes sont tout simplement un chaos. »

Carte des vulnérabilités : six types d’attaques, 2347 faiblesses connues

L’étude couvre quatre secteurs principaux : santé (289 déploiements, 34,1 %), finance (247, 29,2 %), service client (198, 23,4 %) et génération de code (113, 13,3 %).

Elle a établi un système de classification en six catégories de vulnérabilités pour les agents autonomes, comprenant le décalage d’objectif et l’atténuation des instructions, la désynchronisation du planificateur et de l’exécutant, l’élévation des privilèges d’outils, le poisoning de mémoire, la violation de stratégies multi-étapes en silence, et l’échec de délégation.

Dans l’évaluation en environnement de production, la manipulation d’état (State Manipulation) arrive en tête avec 612 cas (26,1 %), suivie par le décalage d’objectif avec 573 cas (24,4 %). L’abus d’outils et l’appel en chaîne, bien que totalisant 489 cas (troisième position), sont les plus graves — 198 cas (40,5 %) sont jugés graves, ce qui en fait la catégorie la plus critique.

D’autres chiffres clés sont tout aussi alarmants : 67 % des agents présentent un décalage d’objectif après 15 étapes d’exécution, 84 % ne maintiennent pas de stratégie de sécurité entre sessions, 73 % manquent de mécanismes de détection de poisoning de mémoire, et 58 % présentent des vulnérabilités de cohérence temporelle. La recherche montre aussi que l’effet du poisoning de mémoire n’apparaît en moyenne qu’après 3,7 sessions d’injection, ce qui complique considérablement la détection de sécurité.

Cas concret : 770 000 agents compromis simultanément

L’incident OpenClaw (anciennement Clawdbot et Moltbot) fournit la validation la plus concrète de ces menaces.

Ce agent AI open source, développé par l’Autrichien Peter Steinberger en novembre 2025, a accumulé en quelques semaines plus de 160 000 étoiles sur GitHub. Il peut envoyer des emails, gérer des agendas, exécuter des commandes terminal et déployer du code, tout en conservant une mémoire persistante entre sessions.

Astrix Security, société de cybersécurité, a découvert via leur outil de scan maison ClawdHunter que 42 665 instances d’OpenClaw existent sur le réseau public, dont 8 sont totalement ouvertes et non authentifiées.

Selon VentureBeat, l’équipe de recherche en sécurité IA de Cisco décrit OpenClaw comme « révolutionnaire en termes de capacités, mais un cauchemar total en termes de sécurité ». Kaspersky, lors d’un audit en janvier 2026, a identifié 512 vulnérabilités, dont 8 graves.

Le processus de l’incident Moltbook est particulièrement représentatif.

Une plateforme sociale conçue spécifiquement pour l’agent OpenClaw a été diffusée viralement, attirant plus de 770 000 inscriptions — les utilisateurs informant Moltbook de leurs agents, qui s’inscrivaient ensuite de façon autonome.

Ensuite, une vulnérabilité dans la base de données a permis aux attaquants de contourner l’authentification et d’injecter directement des instructions dans n’importe quelle session d’agent, compromettant ainsi tous les 770 000 agents — chacun disposant d’un accès privilégié aux appareils des utilisateurs — exposés simultanément. La recherche qualifie cet incident de première attaque massive et documentée de propagation entre agents.

Le « triangle mortel » (lethal trifecta) évoqué par le chercheur en sécurité Simon Willison — capacité d’accéder à des données privées, exposition à du contenu non fiable, et canaux de communication — se manifeste pleinement dans OpenClaw : ces trois éléments font des agents autonomes une plateforme idéale pour les attaquants.

Défaillance structurelle : pourquoi les agents AI sont-ils plus vulnérables que les LLM

L’argument central de la recherche est que les défis de sécurité des agents autonomes diffèrent fondamentalement de ceux des modèles de langage sans état.

L’évaluation de sécurité des modèles de langage se concentre sur « la capacité du modèle à ne pas produire de contenu dangereux » ; pour les agents AI, le problème devient « la capacité du modèle à faire des choses dangereuses » — y compris l’appel d’outils avec des effets concrets, la modification de l’état pour influencer le comportement futur, et l’exécution de plans qui ne deviennent problématiques qu’après plusieurs étapes.

Un exemple concret illustre cette logique : un agent disposant à la fois des permissions de lecture de fichiers (read_file) et de requêtes HTTP (http_request). Lorsqu’évaluées isolément, ces capacités semblent conformes aux règles, mais combinées, elles permettent de voler des données — lire des identifiants dans un fichier de configuration, puis les envoyer via une requête HTTP à une cible externe. Chaque étape respecte la sécurité locale, mais l’ensemble constitue une attaque contre la sécurité globale. Ce phénomène est appelé « sécurité compositionnelle » (compositional safety).

Les chercheurs ont testé quatre architectures principales : ReAct, systèmes multi-agents, agents à mémoire renforcée, et agents utilisant des outils.

Les résultats montrent que l’élévation de privilèges via l’utilisation d’outils réussit dans 95 % des cas pour ces agents, et la poisoning de mémoire dans 94 %.

Même les systèmes multi-agents, réputés plus résistants, présentent un taux de succès de 58 % pour les attaques de décalage d’objectif — ce qui indique que toutes les architectures testées sont vulnérables face à des déploiements adverses.

Les tests d’attaque générés par apprentissage renforcé accentuent encore cette inquiétude : le taux de violation des attaques générées par IA atteint 79 %, contre 63 % pour des scénarios conçus manuellement, montrant que la menace dépasse largement la capacité des tests humains.

Impact direct pour les entreprises : les cadres de protection sont encore insuffisants

Les chercheurs proposent un seuil de sécurité minimal basé sur leurs résultats empiriques : déployer une surveillance en temps réel pour tous les agents en production ; instaurer une approbation manuelle pour toute opération impliquant un accès aux données ou une communication externe ; déclencher une revue manuelle après 20-25 étapes d’exécution, pour prévenir le décalage d’objectif ; et chiffrer l’intégrité de la mémoire persistante des agents à mémoire renforcée.

En termes de surveillance, ils montrent que la détection au niveau des actions (par étape) atteint une précision de 0,94, la détection en séquence (chaîne d’actions) un score F1 de 0,85, et la détection au niveau de l’état un F1 de 0,83. Lors d’un test de 30 jours sur 127 agents en production, le système a intercepté 4 782 opérations avec un taux de fausses alertes de 3,7 %, dont 14,6 % ont été confirmées comme de véritables attaques.

Ils soulignent aussi que la gouvernance actuelle de l’IA est fondamentalement décalée : la majorité des cadres existants se concentrent sur l’audit post-incident, plutôt que sur l’application de contraintes en temps réel lors de l’exécution.

Avec la mise en œuvre du règlement européen sur l’IA et du cadre de gestion des risques de la NIST aux États-Unis, la pression réglementaire et les risques de sécurité vont augmenter. Dans un contexte où les agents AI sont déployés dans des scénarios à haut risque, l’absence d’infrastructures de sécurité solides constitue un risque systémique majeur dans cette vague de commercialisation de l’IA.