système : OPÉRATIONNEL
EN FR ES ZH
← retour à tous les hacks
RESEARCH MEDIUM NEW

LASM : une carte en 7 couches des angles morts de la défense des agents

Une étude de 58 pages révisée le 6 mai 2026 réorganise la sécurité des agents IA par couche et par échelle de temps, sur 116 papers. La carte révèle où les attaques sont documentées mais où défenses et benchmarks n'existent tout simplement pas encore.

2026-06-02 // 6 min affects: llm-agents, multi-agent-systems, rag-agents, tool-using-agents

De quoi s’agit-il ?

Le 25 avril 2026, Kexin Chu a publié sur arXiv une étude systématique de la sécurité des agents LLM (2604.23338), révisée en une version de 58 pages le 6 mai 2026. Ce n’est pas une nouvelle attaque. C’est une réorganisation de la littérature existante — 116 papers de 2021 à 2026 — autour d’une question que la plupart des taxonomies esquivent : où, dans un agent, une menace réside-t-elle réellement, et sur quelle échelle de temps se déploie-t-elle ?

La contribution est le Layered Attack Surface Model (LASM). La plupart des taxonomies de sécurité, dont l’OWASP LLM Top 10 et MITRE ATLAS, classent les menaces par type d’attaque — prompt injection, jailbreak, empoisonnement de données. C’est utile pour nommer un incident, mais cela masque sa position dans le système. LASM classe par structure, et la carte qui en résulte fait apparaître des cases vides — des endroits où des attaques sont documentées mais pas les défenses.

Comment ça marche

LASM est une grille 7×4. L’axe vertical décompose la pile agentique en sept couches :

Couche                     Ce qui s'y trouve
-------------------------  ------------------------------------------------
Foundation                 Poids du modèle de base et pipeline d'entraînement
Cognitive                  Raisonnement, planification, interface du prompt
Memory                     État persistant entre tours et sessions
Tool Execution             Appels d'outils/fonctions, code, effets de bord externes
Multi-Agent Coordination   Délégation et messagerie entre agents
Ecosystem                  Registres, marketplaces, serveurs MCP, plugins
Governance                 Politique, audit, identité, contrôle d'accès

L’axe horizontal est une temporalité à quatre classes — la durée que met une attaque à se manifester :

  • Instantanée — se résout en une seule réponse (prompt injection classique).
  • Persistante à la session — établie une fois, active pour le reste de la session.
  • Cumulative inter-sessions — construite lentement sur de nombreuses sessions (empoisonnement de mémoire, dérive lente du corpus).
  • Inter-couches en cours de session — se propage entre couches au sein d’une exécution : un résultat d’outil réécrit la mémoire, qui oriente ensuite la planification.

Reporter les 116 papers dans cette grille 7×4 constitue l’expérience. Le résultat est une carte de chaleur de l’attention. Les couches basses et les temps courts — la couche Cognitive, la prompt injection instantanée — sont saturés. Les couches hautes (Ecosystem, Governance) et les cases à long horizon, inter-couches, sont clairsemées voire vides. Selon l’étude : plusieurs régions d’attaque documentées n’ont aucune défense correspondante, et les benchmarks actuels n’offrent aucune couverture des modes de défaillance inter-sessions ou inter-couches en cours de session.

Pourquoi c’est important

La valeur tient à l’espace négatif. Une grille qui ne listerait que ce qui a été étudié serait une revue de littérature ; ce qui rend LASM utile opérationnellement, c’est qu’il rend lisibles les cases non étudiées. Si votre modèle de menace est « on a corrigé la prompt injection à la frontière d’entrée », LASM montre que cette frontière est une case sur une surface de 28, et que les cases les plus pertinentes pour des agents en production — corruption cumulative de la mémoire, abus de délégation inter-agents, confiance des registres et marketplaces, contournement de la gouvernance — sont précisément les moins défendues.

Cela rejoint ce que montre déjà la chronique des incidents. Les attaques par empoisonnement de mémoire et charges dormantes (Trojan Hippo, MemMorph) vivent dans la couche Memory sur une échelle inter-sessions — une région que l’étude signale pauvre en défenses et absente des benchmarks. Les attaques de chaîne d’approvisionnement et de registres (registres skill.md, confiance des serveurs MCP) se situent dans la couche Ecosystem, vers le haut de la pile où la couverture chute. L’étude transforme ces anecdotes en un constat structurel : l’effort de défense se concentre là où les attaques sont faciles à démontrer, pas là où elles sont les plus difficiles à arrêter.

L’étude est une carte, pas un correctif. Elle ne mesure pas l’exploitabilité d’une case dans votre déploiement, et une case clairsemée peut l’être parce que la menace est théorique, pas parce qu’elle est ignorée. À lire comme une check-list de couverture, pas comme un classement de sévérité.

Défenses

LASM est lui-même un instrument défensif. Façons concrètes de l’utiliser :

  1. Évaluez votre propre couverture sur la grille. Prenez les sept couches × quatre temporalités et marquez, honnêtement, les cases que vos contrôles actuels touchent. La plupart des équipes constatent que le filtrage d’entrée et la validation de sortie couvrent le coin Cognitive/instantané, et peu d’autres. Les cases vides sont votre backlog.

  2. Priorisez la surveillance à long horizon et inter-couches. Les régions sous-défendues sont cumulatives inter-sessions et inter-couches en cours de session. Cela plaide pour des contrôles qui couvrent le temps et les composants : provenance des écritures en mémoire, comparaison de la mémoire entre sessions, traçage de la propagation d’un résultat d’outil vers la planification ultérieure — pas seulement des scanners par prompt.

  3. Adoptez un Agent Bill of Materials. L’étude publie un schéma de référence AgentBOM — un inventaire des modèles, outils, stockages mémoire, sous-agents et registres d’un agent. On ne défend pas les couches Ecosystem et Governance qu’on n’a pas recensées. Un AgentBOM s’aligne sur les travaux parallèles d’AI SBOM de l’OWASP.

  4. Cartographiez vos benchmarks, pas seulement vos attaques. Puisque l’étude montre que les benchmarks ignorent les modes de défaillance inter-sessions et inter-couches, un tableau de bord vert bâti uniquement sur des évaluations à un tour ne mesure que le coin saturé. Ajoutez des cas de test à long horizon et multi-agents, ou considérez ces cases comme non mesurées par défaut.

  5. Servez-vous du DAG de dépendances pour trier. L’article sépare les lacunes d’ingénierie à court terme (réalisables maintenant) des défis de recherche fondamentale (problèmes ouverts). Dépensez d’abord le budget de remédiation sur les lacunes d’ingénierie ; suivez les questions de recherche comme un risque résiduel accepté plutôt que de prétendre qu’un contrôle existe.

Statut

ÉlémentRéférenceDateNotes
Étude LASM v1arXiv:2604.233382026-04-25Cadre 7×4 initial
Étude LASM v2arXiv:2604.23338v22026-05-0658 pages, 8 figures, 15 tableaux ; 116 papers codés
Artefacts publiésarXiv2026-05-06Codage par paper, scripts de robustesse, schéma AgentBOM
OWASP LLM Top 10OWASP GenAI2025Taxonomie par type d’attaque que LASM complète
MITRE ATLASMITREen continuCatalogue de techniques pour recoupement

Le cadrage à retenir : cet article ne vous dit pas que les agents sont peu sûrs — vous le saviez. Il vous dit vers quel coin de la pièce la lumière est braquée, et quelle proportion du reste demeure dans l’ombre. Pour un défenseur, les cases sombres sont le livrable.

Sources