AIRQ évalue 100 agents IA en production : 98 % cumulent la triade fatale
L'AI Risk Quadrant d'Adversa AI (juin 2026) note 100 agents commerciaux sur surface d'attaque, rayon d'impact et défenses. Seuls 11 % sont bien défendus ; l'exécution d'outils explique à elle seule 76 % du rayon d'impact.
De quoi s’agit-il ?
En juin 2026, Adversa AI a publié l’AI Risk Quadrant (AIRQ), une évaluation indépendante qui note 100 agents IA commerciaux et publics répartis en dix classes. La méthodologie a été construite avec des contributeurs et relecteurs issus de l’OWASP, de la CoSAI, de la Cloud Security Alliance et du NIST ; le cadre comme le rapport sont publiés en libre accès et gratuitement. Comme le rapporte Help Net Security le 3 juin 2026, il se présente comme la première notation de sécurité comparative pour les produits agentiques — le référentiel neutre qui manquait aux acheteurs.
Le constat principal est net : 98 % des agents évalués cumulent déjà la « triade fatale », et seuls 11 % sont à la fois très capables et bien défendus. Nous le couvrons parce qu’il transforme un avertissement architectural connu en chiffres mesurés et comparables — exactement l’élément qu’une équipe sécurité peut présenter lors d’une revue d’achat.
Comment ça marche
AIRQ est un cadre de notation, pas une attaque. Il note chaque agent sur trois axes indépendants plus une couche de preuve :
Axe Question posée
-------------------- -----------------------------------------------
Surface d'attaque Quel est le degré d'exposition de l'agent sur
ses chemins d'entrée et d'exécution ?
Rayon d'impact Quelle est la gravité d'une compromission —
quelles données et quelles actions atteint-il ?
Contrôles défensifs Qu'est-ce qui arrête réellement une attaque :
identité restreinte, isolation d'exécution,
points d'approbation ?
Couche de preuve Quelle est la solidité de la preuve publique de
chaque contrôle revendiqué ? (code source /
audit tiers > fiche produit du fournisseur)Croiser surface d’attaque et défense produit le quadrant éponyme : large portée avec défense faible = Exposed Giant, large portée avec défense équivalente = Fortified Leader, étroit et bien gardé = Tight Operator, étroit et peu protégé = Humble Provider. La quatrième couche est ce que la plupart des notations omettent — et elle compte, car le rapport établit que 83 % des défenses revendiquées ne sont pas publiquement vérifiables. AIRQ note séparément la revendication et la preuve : une page marketing ne peut pas passer pour un contrôle testé.
La « triade fatale » présente chez 98 % du panel est la combinaison d’un accès à des données privées, d’une exposition à du contenu non fiable et de la capacité à mener des actions sortantes. Quand ces trois éléments coexistent, un seul document empoisonné — le schéma de l’injection de prompt indirecte — peut retourner un agent contre son opérateur sur tous les systèmes qu’il atteint. Huit des dix classes d’agents affichent 100 % d’exposition à la triade.
Pourquoi c’est important
La valeur du rapport tient à sa quantification. Une variable domine : le fait qu’un agent exécute des outils, et que cette exécution soit ou non isolée en sandbox, explique 76 % du rayon d’impact — devançant la classe d’agent, la réputation du fournisseur et chaque contrôle défensif pris isolément. Le tri devient peu coûteux : posez ces deux questions avant de lire le moindre support commercial.
La distribution inquiète. Quarante pour cent des agents tombent dans le quadrant Exposed Giants, qui concentre selon le rapport 60 % du budget de risque total. Capacité et défense évoluent en sens inverse sur la majorité du marché — les agents de code se classent deuxièmes en capacité mais huitièmes en défense, et les agents d’usage informatique affichent un score moyen de garde-fous en sortie de zéro (aucun point pour la validation de sortie, le blocage des canaux d’exfiltration ou l’assainissement du rendu). Pire : ces agents à haut risque sont souvent les outils en libre-service, adoptés par le bas, qui contournent entièrement les processus d’achat.
L’audit n’est pas une défense. Le rapport note que 37 % des agents journalisent bien mais notent mal sur les quatre contrôles qui préviennent réellement les dégâts, et que 38 % réalisent des actions irréversibles avant qu’un quelconque dispositif de surveillance ne puisse se déclencher. Une journalisation qui se déclenche après une action irréversible est de la forensique, pas de la protection.
Défenses
AIRQ fait aussi office de check-list défensive. Ses listes de facteurs correspondent aux guides NIST, OWASP, MITRE, CoSAI et CSA ; elles servent donc de questionnaire d’achat et d’aide au cadrage d’un red team.
-
Faites de la sandbox une condition d’achat. Une isolation documentée et testée réduit le risque résiduel d’environ 2,6× ; une isolation au niveau conteneur ou cloud atteint environ 6×. L’essentiel du bénéfice vient de la première étape : exigez-la avant tout déploiement.
-
Réduisez d’abord le rayon d’impact. Puisque l’exécution d’outils explique l’essentiel des dégâts, limitez les outils que l’agent peut appeler, contraignez son identité avec des identifiants à courte durée et à portée étroite, et isolez son environnement d’exécution. Une compromission dans un périmètre restreint reste un résultat de test maîtrisé.
-
Brisez la triade. Vous avez rarement besoin des trois — accès aux données privées, ingestion de contenu non fiable et action sortante — dans le même contexte. Séparez l’agent qui lit l’entrée non fiable de celui qui détient les identifiants ou peut agir vers l’extérieur.
-
Exigez des preuves, pas des fiches produit. Avec 83 % de contrôles revendiqués non vérifiables, traitez une revendication non étayée comme absente. Demandez aux fournisseurs les réponses aux facteurs AIRQ, étayées par du code source ou un audit tiers.
-
Encadrez les actions irréversibles et examinez le flux d’actions. Placez une approbation humaine ou par politique devant tout ce qui est irréversible, et assurez-vous que la surveillance peut se déclencher avant l’action, pas après.
-
Notez deux fois et ré-auditez chaque trimestre. Une même plateforme se note différemment telle que livrée par le fournisseur et telle que configurée par le client. Revérifiez selon un calendrier — les catégories à faible nombre de CVE sont en phase de pré-découverte, pas en sécurité.
Statut
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Rapport et cadre AIRQ | Adversa AI | 2026-06 | 100 agents, 10 classes ; méthodologie ouverte |
| Prévalence de la triade fatale | AIRQ | 2026-06 | 98 % du panel ; 8/10 classes à 100 % |
| Bien défendus (Fortified Leaders) | AIRQ | 2026-06 | 11 % des agents |
| Exposed Giants | AIRQ | 2026-06 | 40 % du panel, 60 % du budget de risque |
| Exécution d’outils → rayon d’impact | AIRQ | 2026-06 | Explique 76 % du rayon d’impact |
| Bénéfice de la sandbox | AIRQ | 2026-06 | ~2,6× de réduction du risque résiduel ; ~6× avec isolation conteneur/cloud |
| Défenses non vérifiées | AIRQ | 2026-06 | 83 % des revendications non publiquement vérifiables |
| Couverture indépendante | Help Net Security | 2026-06-03 | « Seuls 11 % des agents en production passent la barre de sécurité » |
La conclusion n’est pas qu’un produit donné est dangereux — c’est que le marché agentique a déployé de la capacité bien avant le confinement, et qu’il existe désormais un moyen public et reproductible de mesurer l’écart. Traitez l’agent (et non le modèle sous-jacent) comme l’unité de risque, comparez au sein d’une même classe, et faites de la sandbox et des contrôles vérifiés le prix du déploiement.
Sources
- → https://airq.adversa.ai
- → https://adversa.ai/blog/airq-ai-risk-quadrant-for-agents-top-100-agents-scored-for-attack-defense-blast-radius/
- → https://www.helpnetsecurity.com/2026/06/03/research-ai-agent-security-capability/
- → https://www.prnewswire.com/news-releases/airq-the-first-independent-ai-agent-security-rating-and-open-source-risk-scoring-framework-ranks-100-ai-agents-302790957.html