Une nouvelle recherche montre que les agents IA fonctionnent de manière sauvage en ligne, avec peu de garde-fous en place

L’année dernière, les agents IA sont devenus à la mode. OpenAI, Google et Anthropic ont tous lancé des agents destinés au public, conçus pour effectuer des tâches en plusieurs étapes qui leur sont confiées par des humains. Le mois dernier, un agent d'IA open source appelé OpenClaw a pris d'assaut le Web grâce à ses impressionnantes capacités autonomes (et ses problèmes de sécurité majeurs). Mais nous n’avons pas vraiment une idée de l’ampleur des opérations des agents IA, ni si toutes les discussions correspondent à un déploiement réel. Le Laboratoire d’informatique et d’intelligence artificielle (CSAIL) du MIT a décidé de résoudre ce problème avec son Indice des agents d’IA 2025 récemment publié, qui fournit notre premier véritable aperçu de l’ampleur et des opérations des agents d’IA dans la nature.

Les chercheurs ont constaté que l’intérêt pour les agents d’IA a sans aucun doute explosé au cours de la dernière année. Les articles de recherche mentionnant « AI Agent » ou « Agentic AI » en 2025 ont plus que doublé le total entre 2020 et 2024 combinés, et une enquête McKinsey a révélé que 62 % des entreprises ont déclaré que leurs organisations expérimentaient au moins des agents d’IA.

Avec tout cet intérêt, les chercheurs se sont concentrés sur 30 agents d’IA de premier plan répartis en trois catégories distinctes : les options basées sur le chat comme ChatGPT Agent et Claude Code ; des robots basés sur un navigateur comme Perplexity Comet et ChatGPT Atlas ; et des options d'entreprise telles que Microsoft 365 Copilot et ServiceNow Agent. Bien que les chercheurs n’aient pas fourni de chiffres exacts sur le nombre d’agents d’IA déployés sur le Web, ils ont néanmoins fourni un aperçu considérable de leur fonctionnement, qui est en grande partie dépourvu de filet de sécurité.

Seule la moitié des 30 agents d’IA examinés à la loupe par le MIT CSAIL incluent des cadres de sécurité ou de confiance publiés, comme Politique de mise à l'échelle responsable d'Anthropic, Cadre de préparation d'OpenAIou Norme d'IA responsable de Microsoft. Un agent sur trois ne dispose d’aucun document sur le cadre de sécurité, et cinq sur 30 n’ont aucune norme de conformité. Cela est troublant si l’on considère que 13 des 30 systèmes examinés présentent des niveaux d’action extrêmes, ce qui signifie qu’ils peuvent fonctionner en grande partie sans surveillance humaine sur des séquences de tâches étendues. Les agents de navigation, en particulier, ont tendance à fonctionner avec une autonomie nettement plus élevée. Cela inclurait des éléments tels que l'IA « Autobrowse » récemment lancée par Google, qui peut effectuer des tâches en plusieurs étapes en naviguant sur différents sites Web et en utilisant les informations utilisateur pour effectuer des tâches telles que se connecter à des sites en votre nom.

L’un des problèmes liés au fait de laisser les agents naviguer librement et avec peu de garde-fous est que leur activité est presque impossible à distinguer du comportement humain, et ils ne font pas grand-chose pour dissiper toute confusion qui pourrait survenir. Les chercheurs ont découvert que 21 des 30 agents ne divulguent pas aux utilisateurs finaux ou aux tiers qu’ils sont des agents d’IA et non des utilisateurs humains. Cela a pour conséquence que la plupart des activités des agents IA sont confondues avec du trafic humain. Le MIT a découvert que seuls sept agents publiaient des chaînes User-Agent (UA) et des plages d’adresses IP stables à des fins de vérification. Presque autant de personnes utilisent explicitement des chaînes UA de type Chrome et des contextes IP résidentiels/locaux pour rendre leurs demandes de trafic plus humaines, ce qui rend presque impossible pour un site Web de faire la distinction entre le trafic authentique et le comportement d'un robot.

Pour certains agents IA, il s’agit en fait d’une fonctionnalité commercialisable. Les chercheurs ont découvert que BrowserUse, un agent d’IA open source, se vend aux utilisateurs en prétendant contourner les systèmes anti-bots pour naviguer « comme un humain ». Plus de la moitié de tous les robots testés ne fournissent aucune documentation spécifique sur la façon dont ils gèrent les fichiers robots.txt (fichiers texte placés dans le répertoire racine d'un site Web pour indiquer aux robots d'exploration comment ils peuvent interagir avec le site), les CAPTCHA destinés à authentifier le trafic humain ou les API du site. Perplexity a même fait valoir que les agents agissant au nom des utilisateurs ne devrait pas être soumis à des restrictions de grattage puisqu’ils fonctionnent « comme un assistant humain ».

Le fait que ces agents soient dans la nature sans aucune protection en place signifie qu’il existe une réelle menace d’exploitation. Il existe un manque de standardisation en matière d'évaluations et de divulgations de sécurité, laissant de nombreux agents potentiellement vulnérables à des attaques telles que les injections rapides, dans lesquelles un agent IA détecte une invite malveillante cachée qui peut l'amener à enfreindre ses protocoles de sécurité. Selon le MIT, neuf agents sur 30 ne disposent d'aucune documentation sur les garde-fous contre les actions potentiellement nuisibles. Presque tous les agents ne divulguent pas les résultats des tests de sécurité internes, et 23 des 30 ne fournissent aucune information sur les tests de sécurité effectués par des tiers.

Seuls quatre agents (ChatGPT Agent, OpenAI Codex, Claude Code et Gemini 2.5) ont fourni des cartes système spécifiques à l'agent, ce qui signifie que les évaluations de sécurité ont été adaptées au fonctionnement réel de l'agent, et pas seulement au modèle sous-jacent. Mais les laboratoires pionniers comme OpenAI et Google offrent davantage de documentation sur les « risques d’alignement existentiels et comportementaux », ils manquent de détails sur le type de vulnérabilités de sécurité qui peuvent survenir au cours des activités quotidiennes – une habitude que les chercheurs appellent « safety washing », qu’ils décrivent comme la publication de cadres de sécurité et d’éthique de haut niveau tout en ne divulguant que de manière sélective les preuves empiriques nécessaires pour évaluer rigoureusement les risques.

Il y a au moins eu une certaine dynamique pour répondre aux préoccupations soulevées par les chercheurs du MIT. En décembre dernier, OpenAI et Anthropic (entre autres) ont uni leurs forces pour annoncer la création d'une fondation visant à créer une norme de développement pour les agents d'IA. Mais l’IA Agent Index montre à quel point l’écart de transparence est important en matière de fonctionnement de l’IA agentique. Les agents d’IA inondent le Web et le lieu de travail, fonctionnant avec une autonomie choquante et une surveillance minimale. Rien n’indique pour l’instant que la sécurité va bientôt rattraper son retard.