système : OPÉRATIONNEL
EN FR ES ZH
← retour à tous les hacks
AGENTS MEDIUM NEW

AI Agent Traps : la cartographie en six catégories de DeepMind sur le détournement des agents par le web

Le papier « AI Agent Traps » de Google DeepMind (SSRN, fin mars 2026) propose la première taxonomie systématique des contenus web adverses qui ciblent la perception, le raisonnement, la mémoire, l'action, la dynamique multi-agents et le superviseur humain d'un agent.

2026-06-18 // 7 min affects: llm-agents, web-agents, browser-agents, multi-agent-systems, rag-agents

De quoi s’agit-il ?

AI Agent Traps est un papier-cadre de Google DeepMind — signé par Matija Franklin, Nenad Tomašev, Julian Jacobs, Joel Z. Leibo et Simon Osindero — déposé sur SSRN fin mars 2026. Les auteurs définissent un « piège à agent » comme un contenu adverse intégré dans une page web, un document ou une réponse d’API, conçu pour tromper ou exploiter l’agent IA qui le traite. Le ressort essentiel, selon eux, est qu’« en modifiant l’environnement plutôt que le modèle, le piège retourne les capacités de l’agent contre lui-même ». Le document se présente comme le premier catalogue systématique de cette classe de menace, et chaque catégorie s’appuie sur des preuves de concept déjà publiées, et non sur de nouvelles attaques.

L’intérêt de disposer d’une référence unique : la sécurité des agents a accumulé des dizaines de constats isolés (injection indirecte, empoisonnement de mémoire, abus d’outils). Ce papier les organise selon la partie de la boucle de l’agent qu’ils visent, ce qui rend la surface d’attaque lisible pour la modélisation de menaces.

Comment ça marche

La taxonomie compte six catégories, chacune ciblant une étape différente du cycle d’un agent :

  1. Pièges par injection de contenu (perception). Instructions cachées dans des commentaires HTML, du CSS, des métadonnées d’image ou des balises d’accessibilité — invisibles pour un relecteur humain, interprétées comme des commandes par l’agent. Le papier cite le benchmark WASP, où de simples injections rédigées par des humains dans du contenu web ont partiellement détourné les agents dans jusqu’à 86 % des scénarios testés.
  2. Pièges par manipulation sémantique (raisonnement). Pas de commande explicite — plutôt un cadrage, de faux signaux d’autorité ou un texte à forte charge émotionnelle qui exploitent les mêmes biais d’ancrage et de cadrage que chez l’humain : reformuler des faits identiques modifie la conclusion de l’agent.
  3. Pièges sur l’état cognitif (mémoire). Empoisonnement du magasin de récupération que l’agent relit d’une session à l’autre. Des travaux cités montrent qu’injecter une poignée de documents optimisés — moins de 0,1 % d’une base de connaissances — peut réorienter des requêtes ciblées avec des taux de succès supérieurs à 80 %.
  4. Pièges de contrôle comportemental (action). Détournement direct de la couche d’action : jailbreaks intégrés, commandes d’exfiltration et création de sous-agents. Le papier documente un cas M365 Copilot où un seul courriel forgé a poussé le système à contourner ses classifieurs et à divulguer l’intégralité de son contexte privilégié ; les attaques par création de sous-agents y sont citées avec un succès de 58 à 90 %.
  5. Pièges systémiques (multi-agents). Des entrées conçues pour déclencher une défaillance à l’échelle d’un réseau — attaques par congestion, cascades d’interdépendance modelées sur le krach éclair de 2010, et pièges fragmentés compositionnels qui dispersent une charge utile entre des sources d’apparence inoffensive, laquelle ne s’assemble que lorsque les agents les agrègent.
  6. Pièges « human-in-the-loop » (le superviseur). Des sorties conçues pour induire la fatigue de validation, des synthèses denses qu’un non-expert approuve sans examen, ou des liens de recommandation qui sont en réalité du hameçonnage — transformant l’agent en arme contre son propre superviseur.

Point décisif : les pièges se combinent. Ils peuvent être chaînés, superposés ou distribués, raison pour laquelle les auteurs estiment que les défenses au cas par cas sont insuffisantes. Aucun payload opérationnel n’est reproduit ici.

Pourquoi c’est important

Ce cadrage déplace la frontière de sécurité du « prompt » vers « l’ensemble de l’environnement informationnel que l’agent touche ». C’est lourd de conséquences, car la plupart des contrôles déployés supposent un unique canal d’entrée de confiance. Un agent qui navigue, lit des courriels, interroge une base de connaissances et crée des sous-agents dispose d’au moins quatre surfaces d’injection indépendantes ; et la catégorie systémique montre que le rayon d’impact n’est pas plafonné à un seul agent — des flottes homogènes d’agents de trading, de code ou de support peuvent être pilotées ensemble. Le secteur financier est explicitement visé, étant donné à quel point les agents algorithmiques sont déjà imbriqués dans les infrastructures de marché.

Défenses

Le papier propose une réponse coordonnée sur trois niveaux, qui fait aussi office de check-list pratique :

  • Technique. Entraînement adverse pendant le développement du modèle ; à l’exécution, superposer des filtres de source (rejeter les origines non fiables), des scanners de contenu (détecter les instructions cachées avant ingestion) et des moniteurs de sortie capables de suspendre l’agent en cours de tâche en cas de comportement anormal. Traiter la mémoire récupérée et les résultats d’outils comme des données non fiables, pas comme des instructions.
  • Écosystème. Des standards web permettant aux sites de signaler explicitement le contenu destiné à une consommation par l’IA, ainsi que des systèmes de réputation de domaine afin que les agents pondèrent la fiabilité des sources — par analogie avec les voitures autonomes qui doivent rejeter les panneaux routiers truqués.
  • Gouvernance. Les auteurs pointent un vide de responsabilité : lorsqu’un agent détourné commet un délit financier, le partage de responsabilité entre l’opérateur, le fournisseur du modèle et le propriétaire du domaine reste indéfini. Ils notent aussi que la plupart des catégories de pièges manquent de benchmarks standardisés, si bien que la robustesse en production reste largement non mesurée.

Côté ingénierie, des contrôles complémentaires s’alignent sur la logique du « lethal trifecta » : redoublez de prudence lorsqu’un agent combine contenu non fiable, mémoire persistante et capacité d’action ou d’exfiltration ; cantonnez les privilèges par tâche ; et exigez une confirmation humaine là où le rayon d’impact est important.

Statut

Il s’agit d’une taxonomie académique publiée par un laboratoire reconnu, et non d’une vulnérabilité dans un produit nommé ; aucun payload d’exploitation n’est divulgué. Le papier a été déposé sur SSRN fin mars 2026 et repris par des médias indépendants début avril 2026, ce qui place la source confortablement dans les ~90 derniers jours. Les concepteurs de systèmes exposés au web et multi-agents devraient utiliser ces six catégories comme grille de modélisation de menaces et partir du principe que toute surface d’environnement qu’un agent lit — page, document, mémoire, sortie d’outil ou message d’un autre agent — est un piège potentiel.

Sources