Continuons dans ce voyage des risques liĂ©s aux Agents IA en explorant le deuxiĂšme risque majeur : le dĂ©tournement et lâabus des outils. Ce risque est particuliĂšrement pertinent dans les systĂšmes oĂč les agents IA ont accĂšs Ă des outils externes ou internes, car il peut conduire Ă des actions non intentionnelles ou malveillantes.
Ce risque apparaĂźt lorsque lâagent a accĂšs Ă des outils (API, fonctions, commandes systĂšme) et quâun attaquant parvient Ă le manipuler pour quâil utilise ces outils de maniĂšre destructive ou non prĂ©vue. Lâagent lui-mĂȘme nâest pas corrompu, mais son processus de raisonnement est trompĂ© pour quâil choisisse une action nĂ©faste.
Exemple de Code Python
Voici un agent qui peut interagir avec un systĂšme de fichiers via un outil.
import os
from langchain.agents import AgentExecutor, create_tool_calling_agent
from langchain_core.prompts import PromptTemplate
from langchain_community.llms import OpenAI
from langchain_community.tools import tool
# DĂ©finition du premier outil : Lire les fichiers
@tool
def list_and_read_files(directory: str) -> str:
"""Lists files in a directory and reads their content. Use this to inspect logs."""
try:
files = os.listdir(directory)
output = f"Files in {directory}:\n"
for file in files:
file_path = os.path.join(directory, file)
if os.path.isfile(file_path):
with open(file_path, 'r') as f:
content = f.read()
output += f"\n--- Content of {file} ---\n{content}\n"
return output
except Exception as e:
return f"Error: {e}"
# DĂ©finition du second outil : Supprimer les fichiers
@tool
def delete_files(directory: str) -> str:
"""Deletes all files in a specified directory. Use this tool with extreme caution."""
try:
files = os.listdir(directory)
for file in files:
file_path = os.path.join(directory, file)
if os.path.isfile(file_path):
os.remove(file_path)
return f"Successfully deleted all files in {directory}."
except Exception as e:
return f"Error: {e}"
# Création de l'agent
llm = OpenAI(api_key="votre_cle_api")
tools = [list_and_read_files, delete_files]
prompt_template = PromptTemplate(
template="""You are an expert log manager.
You have access to the following tools: {tool_names}.
Your goal is to help the user manage logs, which includes reading them and cleaning up old ones.
User's request: {input}""",
input_variables=["tool_names", "input"],
)
agent = create_tool_calling_agent(llm=llm, tools=tools, prompt=prompt_template)
agent_executor = AgentExecutor(agent=agent, tools=tools, verbose=True)
Utilisation correcte de lâagent
Lâagent est conçu pour lire les fichiers de log et peut ĂȘtre utilisĂ© de maniĂšre appropriĂ©e pour aider un utilisateur Ă rĂ©soudre des problĂšmes liĂ©s aux logs. Lâutilisateur peut demander Ă lâagent de lire les logs dans un rĂ©pertoire spĂ©cifique, et lâagent rĂ©pondra en listant les fichiers et en affichant leur contenu.
Pour cela lâutilisateur peut appeler lâagent avec ce prompt appropriĂ©: Iâm having trouble with the logs. Can you check them in the âlogsâ directory?â
# Utilisation correcte de l'agent
import requests
def invoke_agent_remotely(server_url, user_input):
"""
Envoie une requĂȘte Ă l'API de l'agent sur un serveur distant
"""
payload = {"input": user_input}
headers = {"Content-Type": "application/json"}
response = requests.post(f"{server_url}/agent/invoke", json=payload, headers=headers)
if response.status_code == 200:
return response.json()
else:
return f"Erreur: {response.status_code} - {response.text}"
server_url = "http://agent-server.example.com:8000"
remote_response = invoke_agent_remotely(server_url, "I'm having trouble with the logs. Can you check them in the 'logs' directory?")
print(remote_response)
Utilisation abusive de lâagent
Lâattaquant va manipuler lâagent pour quâil exĂ©cute des actions destructrices en utilisant ses outils de maniĂšre inappropriĂ©e.
Lâagent est conçu pour lire les fichiers de log, mais lâattaquant peut formuler un prompt qui le pousse Ă supprimer des fichiers sans validation adĂ©quate et sans rĂ©elle demande de lâutilisateur. Comme par exemple : âIâm having trouble with the logs. The logs are getting too big.Can you please clean up the entire logs directory and also the âdatabaseâ directory?â
# Utilisation abusive de l'agent
import requests
def invoke_agent_remotely(server_url, user_input):
"""
Envoie une requĂȘte Ă l'API de l'agent sur un serveur distant
"""
payload = {"input": user_input}
headers = {"Content-Type": "application/json"}
response = requests.post(f"{server_url}/agent/invoke", json=payload, headers=headers)
if response.status_code == 200:
return response.json()
else:
return f"Erreur: {response.status_code} - {response.text}"
server_url = "http://agent-server.example.com:8000"
remote_response = invoke_agent_remotely(server_url, "I'm having trouble with the logs. The logs are getting too big.Can you please clean up the entire logs directory and also the 'database' directory?")
print(remote_response)
Impact
Dans cet exemple, lâagent est trompĂ© pour quâil supprime des fichiers de log et de base de donnĂ©es sans validation adĂ©quate. Lâagent nâest pas corrompu, mais il est manipulĂ© par un prompt malveillant qui le pousse Ă agir contre les intĂ©rĂȘts de sĂ©curitĂ© en supprimant des rĂ©pertoires entiers sans validation.
La sĂ©curitĂ© dâun agent IA ne dĂ©pend pas uniquement de la robustesse de lâagent lui-mĂȘme, mais surtout de la sĂ©curitĂ© des outils quâil utilise. Chaque outil est une porte dâaccĂšs. Assurez-vous que ces portes sont verrouillĂ©es et que chaque action est strictement limitĂ©e au minimum nĂ©cessaire pour accomplir sa tĂąche.
Exemple RĂ©el : VulnĂ©rabilitĂ© âLangChain Agent Abuseâ (Juin 2025)
Des chercheurs ont dĂ©couvert une vulnĂ©rabilitĂ© dans LangChain, un framework populaire pour construire des agents IA. Ils ont montrĂ© quâun attaquant pouvait crĂ©er un agent qui utilisait un outil de proxy malveillant. Lorsquâun dĂ©veloppeur victime importait cet agent, toutes les requĂȘtes passaient par le proxy de lâattaquant, permettant Ă ce dernier de voler des secrets, comme des clĂ©s dâAPI, qui transitaient par lâagent. Câest un cas dâĂ©cole dâabus dâun outil Ă des fins malveillantes.