Les agents de l’IA pourraient devenir la prochaine vulnérabilité majeure de la crypto.
BlockchainNews (Actualite)

Les agents de l’IA pourraient devenir la prochaine vulnérabilité majeure de la crypto.

elvis.konjoh
By elvis.konjoh - Crypto éducateur et blockchain expert
8 Min Read

Table de contenu
Les vecteurs d’attaque MCP exposent les problèmes de sécurité des agents d’IAMCP dans les agents d’IA, une menace pour la cryptoSécuriser la couche AI avant qu’il ne soit trop tard

Les agents de l’IA en crypto sont de plus en plus intégrés dans des portefeuilles, des bots d’échanges et des assistants on-chain qui automatisent les tâches et prennent des décisions en temps réel.

Bien que ce ne soit pas encore un cadre standard, le protocole de contexte modèle (MCP) émerge au cœur de beaucoup de ces agents. Si les blockchains ont des contrats intelligents pour définir ce qui devrait se produire, les agents de l’IA ont des MCP pour décider comment les choses peuvent se produire.

Le MCP agit comme une couche de contrôle qui gère le comportement d’un agent d’IA, tels que les outils qu’il utilise, le code qu’il exécute et la manière dont il répond aux entrées des utilisateurs.

Cependant, cette flexibilité crée également une puissante surface d’attaque, permettant aux plugins malveillants de remplacer les commandes, d’introduire des données empoisonnées ou d’influencer les agents pour exécuter des instructions nuisibles.

Anthropic, Amazon et Google ont abandonné MCP le 25 novembre 2024 pour connecter les assistants d’IA aux systèmes de données. Source: Anthropic

Les vecteurs d’attaque MCP exposent les problèmes de sécurité des agents d’IA

Selon Vaneck, le nombre d’agents d’IA dans l’industrie de la cryptographie a dépassé 10 000 à la fin de 2024 et devrait dépasser 1 million en 2025.

La société de sécurité Slowmist a découvert quatre vecteurs d’attaque potentiels que les développeurs doivent surveiller. Chaque vecteur d’attaque est introduit via un plugin, permettant aux agents basés sur MCP d’étendre leurs capacités, qu’il s’agisse de récupérer des données de prix, d’exécuter des transactions ou d’effectuer des tâches système.

  • Empoisonnement des données : Cette attaque pousse les utilisateurs à effectuer des actions trompeuses, manipulant leur comportement pour insérer une logique malveillante dès le début du processus.

  • Attaque d’injection JSON : Ce plugin récupère des données d’une source locale potentiellement malveillante via un appel JSON, provoquant des fuites de données ou des contournements de mécanismes de validation en alimentant les entrées corrompues.

  • Remplacement de la fonction : Cette technique remplace les fonctions du système légitime par du code malveillant, empêchant les opérations attendues et intégrant des instructions obscurcies pour perturber la logique du système.

  • Attaque d’appel Cross-MCP : Ce plugin incite un agent d’IA à interagir avec des services externes non vérifiés via des messages d’erreur codés ou des invites trompeuses, permettant d’élargir la surface d’attaque en connectant plusieurs systèmes.

Diagramme montrant des vecteurs d’attaque croisés et des points de risque potentiels. Source: Slowmist

Ces vecteurs d’attaque ne doivent pas être confondus avec l’empoisonnement des modèles d’IA eux-mêmes, comme GPT-4 ou Claude, qui peut impliquer de corrompre les données d’entraînement influençant les paramètres internes d’un modèle. Les attaques démontrées par les agents Slowmist ciblent l’IA, agissant sur des entrées en temps réel à l’aide de plugins et de protocoles de contrôle comme le MCP.

En rapport : L’avenir de l’auto-gouvernance numérique : agents d’IA en crypto

“L’empoisonnement des modèles d’IA consiste à injecter des données malveillantes dans des échantillons d’entraînement, qui sont ensuite intégrées dans les paramètres du modèle”, a déclaré à Cointelegraph le co-fondateur de Slowmist, “Monster Z”. « En revanche, l’empoisonnement des agents et des MCP provient principalement d’informations malveillantes introduites durant l’interaction du modèle. »

« Je crois que l’empoisonnement des agents pose un niveau de menace et d’accès supérieur à celui de l’empoisonnement autonome de l’IA », a-t-il ajouté.

MCP dans les agents d’IA, une menace pour la crypto

L’adoption des agents MCP et IA est encore relativement nouvelle en crypto. Slowmist a identifié les vecteurs d’attaque de projets MCP pré-publiés qu’il a vérifiés, ce qui a permis d’atténuer les pertes réelles auprès des utilisateurs finaux.

Cependant, le niveau de menace des vulnérabilités de sécurité liées au MCP est très réel. Monster a rappelé un audit où une vulnérabilité a pu conduire à des fuites de clés privées, une catastrophe pour tout projet ou investisseur en crypto, car cela pourrait accorder un contrôle total des actifs à des acteurs non autorisés.

Les développeurs de crypto peuvent être nouveaux dans la sécurité de l’IA, mais c’est un problème urgent. Source: Cos

“Lorsque vous ouvrez votre système à des plugins tiers, vous étendez la surface d’attaque à votre insu”, a déclaré à Cointelegraph Guy Itzhaki, PDG de la société de recherche cryptographique Fhenix.

En rapport : L’IA a un problème de confiance – la technologie décentralisée préservant la confidentialité peut le résoudre

“Les plugins peuvent servir de chemins d’exécution pour du code de confiance, souvent sans une intégrité suffisante. Cela ouvre la porte à l’escalade des privilèges, à l’injection de dépendances et, pire encore, à des fuites de données silencieuses”, a-t-il ajouté.

Sécuriser la couche AI avant qu’il ne soit trop tard

Construire rapidement implique parfois de briser des choses, ce qui expose les développeurs au risque de sécurité, particulièrement dans l’environnement hautement risqué de la crypto.

L’une des erreurs les plus fréquentes des développeurs est de croire qu’ils peuvent travailler en sous-main et mettre en œuvre des mesures de sécurité dans des mises à jour ultérieures après le lancement. C’est l’avis de Lisa Loud, directrice exécutive de Secret Foundation.

“Lorsque vous construisez un système basé sur des plugins aujourd’hui, surtout dans le contexte de la crypto, qui est publique et on-chain, vous devez d’abord établir la sécurité et faire le reste ensuite”, a-t-elle déclaré à Cointelegraph.

Les experts de Slowmist recommandent aux développeurs d’implémenter une vérification stricte des plugins, d’appliquer la désinfection des entrées et de réduire les privilèges en appliquant des principes de sécurité stricts.

Loud a déclaré qu’il n’était pas « difficile » de mettre en œuvre de tels contrôles de sécurité pour empêcher les injections malveillantes ou l’empoisonnement des données, mais simplement « fastidieux et long » – un petit prix à payer pour sécuriser les fonds crypto.

Alors que les agents d’IA continuent d’étendre leur empreinte dans l’infrastructure cryptographique, la nécessité d’une sécurité proactive est impérative.

Le cadre MCP peut débloquer de nouvelles capacités puissantes pour ces agents, mais sans une protection robuste autour des plugins et du comportement du système, ils pourraient devenir des vecteurs d’attaque, mettant ainsi les portefeuilles cryptographiques, les fonds et les données en danger.

Revue : Les tokens AI Crypto augmentent de 34 %, pourquoi ChatGPT est un tel succès : AI Eye

Résumé : Les agents d’IA dans la crypto, bien qu’innovants, posent des défis de sécurité importants. Le protocole de contexte modèle (MCP) offre des opportunités, mais aussi des vulnérabilités. L’importance de la sécurité proactive est cruciale pour éviter des attaques potentielles qui pourraient compromettre les actifs numériques.

Source

You Might Also Like

Crypto : Standard Chartered s’allie à FalconX pour attirer les investisseurs institutionnels.

BTC cible 90 000 $ : Analyse du prix du Bitcoin – Niveaux clés à surveiller en mai

Enregistrement essentiel du Delaware de Canary Capital

Gemini Exchange liste RLUSD, le stablecoin de Ripple

La Fed adopte une approche agressive dans sa stratégie financière

Share This Article
Byelvis.konjoh
Crypto éducateur et blockchain expert
Follow:
Ingénieur génie logiciel de formation. Actuellement en service tant que développeur d’applications web à Shanghai Chine. Je découvre la crypto en 2016 au travers d’une amie. Après multiples investissements à pertes, j’ai décidé d’en apprendre un peu plus sur le fonctionnement de cet univers. Ceci m’a permis d’être enthousiaste de la cryptomonnaie, crypto éducateur, crypto investisseur et blockchain expert. Au travers de ma chaine YouTube j’éduque les Africains à propos de cet univers que je décris comme plein d’opportunités et de potentiel.
Previous Article Le Pakistan attribue 2 000 mW à l’exploitation du bitcoin et aux centres d’IA Le Pakistan attribue 2 000 mW à l’exploitation du bitcoin et aux centres d’IA
Next Article Les ETF XRP vont-ils bientôt recevoir l’approbation de la SEC ? Les ETF XRP vont-ils bientôt recevoir l’approbation de la SEC ?
Leave a Comment

Rester connecté

- Publicité -

Latest News

Bitcoin approche 105 000 $ alors que Donald Trump demande une diminution du taux de la Fed ‘Point’
Bitcoin approche 105 000 $ alors que Donald Trump demande une diminution du taux de la Fed ‘Point’
Blockchain News (Actualite)
Le signal historique clignote : un grand marché haussier de cryptomonnaies approche
Le signal historique clignote : un grand marché haussier de cryptomonnaies approche
Blockchain News (Actualite)
L’USDT en tête avec 96,24 millions de dollars d’entrées nettes tandis que le BTC subit 24,91 millions de dollars.
L’USDT en tête avec 96,24 millions de dollars d’entrées nettes tandis que le BTC subit 24,91 millions de dollars.
Blockchain News (Actualite)
Une baleine Ethereum déplace 159 millions de dollars dans un transfert mystérieux
Une baleine Ethereum déplace 159 millions de dollars dans un transfert mystérieux
Blockchain News (Actualite)