Les agents IA deviennent utiles dans la crypto, mais ils doivent être traités comme des systèmes non fiables par défaut. C’est le message central d’une étude publiée en mai par des chercheurs de Google, Gray Swan AI, EmbraceTheRed, Meta FAIR et plusieurs universités. Pour eux, la sécurité ne peut plus reposer seulement sur le modèle d’IA. Elle doit être construite autour de tout le système.
L’IA agentique change le risque crypto
Les agents IA ne se contentent plus de répondre à des questions. Ils peuvent préparer des transactions, interagir avec des protocoles Web3, lancer des tokens, lire des contrats et parfois gérer des portefeuilles. Cette évolution rejoint un mouvement plus large : les agents IA commencent déjà à utiliser les stablecoins comme rails de paiement. Dans la crypto, cette autonomie crée donc une promesse forte. Elle crée aussi une surface d’attaque nouvelle.
L’étude Agent Security is a Systems Problem défend une idée simple : le modèle d’IA qui pilote un agent doit être traité comme un composant non fiable. Même s’il est puissant. Même s’il répond bien, même s’il semble comprendre la tâche. Les chercheurs estiment que les efforts pour rendre les modèles plus robustes restent insuffisants si le reste de l’architecture laisse passer les abus.
Cette approche ressemble à une vieille règle de cybersécurité : ne jamais faire confiance à une seule couche. Un agent IA peut recevoir des instructions piégées, mal interpréter une donnée ou suivre une consigne cachée. Si le système lui donne trop de pouvoir, l’erreur devient une perte financière.
Trois principes pour limiter les dégâts
Les chercheurs identifient trois mécanismes capables de réduire une grande partie des attaques connues. Le premier consiste à séparer clairement les instructions des données non fiables. C’est essentiel, car une donnée peut cacher une consigne malveillante. Un agent peut croire lire un document, alors qu’il obéit en réalité à un ordre dissimulé.
Ce risque n’est pas abstrait. Les attaques de supply chain ciblant les développeurs montrent déjà comment des consignes cachées peuvent contaminer un environnement de travail. L’affaire TrapDoor, qui visait aussi les assistants de programmation IA, illustre cette bascule : le danger ne vient plus seulement du code exécuté, mais aussi du contexte que la machine accepte comme instruction.
Le deuxième principe est celui du moindre privilège. Un agent ne devrait avoir accès qu’aux permissions strictement nécessaires. S’il doit vérifier un solde, il n’a pas besoin de transférer des fonds. S’il doit préparer une transaction, il ne devrait pas pouvoir l’exécuter seul. Cette limite protège l’utilisateur contre les erreurs et les manipulations.
Le troisième principe concerne les informations sensibles. Le système, et non l’agent, doit contrôler où vont les secrets, les clés, les tokens ou les données privées. Cela évite qu’une instruction malveillante pousse l’IA à envoyer des informations vers une destination dangereuse. Dans la crypto, cette règle n’est pas théorique. Elle peut séparer un wallet sécurisé d’un wallet vidé.
Les wallets IA exigent une méfiance structurée
Le sujet devient critique parce que les agents IA gagnent du terrain chez les utilisateurs crypto. Jeremy Allaire, PDG de Circle, a déjà prédit que des milliards d’agents IA pourraient agir pour le compte des utilisateurs dans les prochaines années. Cette vision suppose que les agents manipuleront des stablecoins, des paiements et des services automatisés.
Mais donner un wallet à une IA revient à ajouter une couche de confiance dans un système conçu pour limiter la confiance. Avant de laisser une IA trader, il faudrait prouver qu’elle peut détecter les jetons frauduleux, appliquer des limites de slippage, repérer les attaques et isoler les invites dangereuses.
L’incident Bankr illustre cette fragilité. L’assistant de trading crypto basé sur l’IA a désactivé des transactions le 20 mai après avoir identifié un attaquant ayant accédé à au moins 14 portefeuilles. Les détails restent limités, mais le signal est clair : quand l’IA touche aux fonds, la sécurité doit être plus stricte que dans un simple chatbot.
Le vrai enjeu n’est pas l’IA, mais son environnement
Il serait trop facile d’accuser seulement les modèles. Le problème vient souvent des permissions, des connecteurs, des plugins, des wallets, des interfaces et des règles d’exécution. Une IA peut être imparfaite sans être dangereuse si le système qui l’entoure bloque les actions risquées.
C’est pourquoi les protocoles de contexte de modèle, ou MCP, sont souvent présentés comme une piste utile lorsqu’ils sont bien configurés. Ils peuvent agir comme intermédiaires entre l’agent et le wallet. L’agent peut alors vérifier un solde ou préparer une action, mais pas transférer librement des fonds sans validation humaine.
Cette logique vaut aussi pour la DeFi modulaire. Une intégration mal comprise peut suffire à exposer des fonds, comme l’a rappelé la faille du module tiers associé à Squid. Et côté utilisateur, la validation humaine doit rester réelle : les fausses publicités Uniswap qui vident les wallets montrent qu’une signature donnée trop vite peut coûter très cher.
La crypto doit donc éviter l’erreur classique de l’innovation trop rapide. Un agent IA qui signe, échange ou déploie du code sans garde-fous n’est pas un assistant. C’est un risque automatisé. L’avenir des agents crypto ne dépendra pas seulement de leur intelligence. Il dépendra surtout de leur confinement.
En bref
- Les agents IA doivent être traités comme des composants non fiables.
- La sécurité doit être imposée au niveau du système, pas seulement du modèle.
- Dans la crypto, aucun agent ne devrait déplacer des fonds sans limites strictes.
