La ruée mondiale vers le déploiement d’agents d’IA autonomes sur Internet, les réseaux d’entreprise et les applications grand public crée une dette de sécurité catastrophique, selon le chef de l’auditeur de sécurité blockchain Certik.
Alors que les entreprises commercialisent avec ambition ces outils comme des miracles de productivité, la dure réalité est que cela peut être une chose très, très risquée. Les agents d’IA non isolés et non contrôlés constituent un énorme désastre de sécurité qui attend de se produire, a déclaré à CoinDesk Ronghui Gu, co-fondateur et PDG de CertiK.
Gu a averti que les utilisateurs exposent potentiellement leurs fichiers les plus sensibles, leurs informations d’identification locales et leurs comptes d’argent à des systèmes autonomes qui peuvent être facilement manipulés, détournés et ouvertement arnaqués.
« À l’heure actuelle, les agents ne se contentent plus de répondre aux questions dans une fenêtre de discussion », a déclaré Gu à CoinDesk dans la foulée du rapport approfondi historique de CertiK sur l’infrastructure d’agents généralisée. « Ils commencent à appeler des outils externes, à lire des fichiers locaux, à déclencher des flux de travail et à interagir avec l’infrastructure financière. Mais si vous n’isolez pas l’environnement d’exécution et n’analysez pas d’abord ces outils, vous donnez à une identité compromise un large accès interne à l’ensemble de votre réseau.
Le défaut fondamental du boom actuel des agents IA est un modèle de confiance erroné, selon Gu.
Charles Hoskinson, fondateur et PDG de Cardano’s Input Output, a déclaré que d’ici 2035, ils deviendront plus pertinents que les humains sur Internet. Brian Armstrong, PDG de Coinbase, a récemment déclaré que « très bientôt, il y aura plus d’agents d’IA que d’humains effectuant des transactions » et le fondateur de Binance, Changpeng Zhao, a prédit qu’ils « effectueraient un million de fois plus de paiements que les humains ».
Menace intérieure ultime
Gu a déclaré que de nombreuses applications d’IA open source populaires sont construites en supposant que, parce qu’elles s’exécutent localement sur l’ordinateur d’un utilisateur ou se connectent via des applications de chat standard comme WhatsApp, elles sont à l’abri des menaces externes.
La réalité est tout le contraire, a-t-il noté. Dès qu’un utilisateur accorde à un agent IA l’autorisation de lire le stockage du système local, d’afficher les historiques d’exécution ou de gérer les informations d’identification de sa messagerie personnelle et de sa base de données professionnelle, cet agent devient la menace interne ultime.
L’analyse récente de CertiK des premières structures d’agents à croissance rapide a révélé une accumulation stupéfiante de vulnérabilités de sécurité, notamment des centaines d’avis de sécurité critiques, des vulnérabilités et expositions communes (CVE) non corrigées et d’autres expositions massives d’informations d’identification locales et de mémoires de session résultant de contrôles de limites totalement incohérents.
Ce qui est encore plus alarmant est la facilité avec laquelle ces systèmes autonomes peuvent être complètement redirigés au niveau de la couche de raisonnement sans qu’une seule ligne de code malveillant ne soit écrite, a souligné Gu.
Grâce à des attaques de base par « injection rapide », un acteur malveillant peut intégrer des instructions cachées en langage naturel dans une page Web inoffensive, un document PDF ou un e-mail entrant, a-t-il ajouté.
Lorsque l’agent IA non isolé lit ce fichier pour traiter une tâche pour l’utilisateur, il ne parvient pas à séparer les commandes système approuvées des données externes non fiables, a expliqué Gu. L’agent écrase alors silencieusement ses règles d’origine, obéit aux instructions malveillantes et peut être contraint d’exfiltrer des données ou de déclencher des transferts de fonds non autorisés.
Exploits hyperrapides
Gu a révélé que CertiK avait découvert des centaines de compétences malveillantes, de faux installateurs et de packages de dépendances similaires situés directement sur des hubs d’utilitaires d’agents ouverts. Étant donné que ces plug-ins malveillants utilisent un langage naturel standard pour influencer subtilement le comportement de l’agent et modifier ses objectifs, ils contournent complètement les anciens logiciels antivirus basés sur les signatures.
« Les applications frauduleuses utilisent le langage naturel pour influencer le comportement, ce qui les rend totalement résistantes aux analyses antivirus traditionnelles », a expliqué Gu. « Et à l’heure actuelle, il est encore plus facile d’arnaquer la machine que d’arnaquer un humain. »
Dans ce que Gu décrit comme une évolution bizarre de la criminalité financière, la télémétrie de CertiK a observé une explosion d’escroqueries automatisées en chaîne qui ne durent que 10 minutes ou quelques heures avant de disparaître complètement.
Ces exploits ultrarapides et éphémères sont spécialement conçus par des pirates informatiques pour cibler et arnaquer d’autres robots commerciaux autonomes à IA et systèmes d’agents automatisés, exécutant un drainage financier machine sur machine avant même qu’un humain ne se rende compte qu’une compromission a eu lieu.
Gu déclare que l’industrie du génie logiciel doit abandonner complètement sa dépendance aux interactions basées sur la confiance et s’orienter immédiatement vers une architecture isolée « Zero Trust » où chaque commande et dépendance est vérifiée en permanence.