Certik dévoile un « antivirus pour agents IA » alors que les places de marché de compétences sont confrontées à des menaces cachées

Le défi de la sécurité

La société de sécurité spécialisée dans la blockchain et l'IA, Certik, a dévoilé le 27 mai une nouvelle plateforme de sécurité conçue pour évaluer les risques liés aux compétences en intelligence artificielle (IA) tierces. Surnommée « l'antivirus pour les agents IA », cette plateforme est lancée alors que le secteur s'inquiète de plus en plus de la sécurité des places de marché de compétences en IA.

Les chercheurs en sécurité ont averti que bon nombre de ces compétences ne sont pas vérifiées, peuvent exécuter des actions au niveau du système et peuvent contenir des comportements malveillants cachés, créant ainsi un nouveau risque lié à la chaîne d’approvisionnement logicielle pour l’ère de l’IA. Des audits de sécurité menés dans l’ensemble du secteur ont identifié des risques allant de la collecte d’identifiants et de l’exfiltration de données à la manipulation des transferts de fonds et aux attaques par contournement basées sur des invites.

Malgré ces inquiétudes, les marchés de compétences IA se sont développés rapidement à mesure que les écosystèmes d’agents mûrissaient. Cependant, contrairement aux boutiques d’applications traditionnelles, la plupart des compétences proviennent de référentiels publics et ne font l’objet que de peu ou pas de vérification. Selon les analystes, cela offre aux attaquants la possibilité d’intégrer des instructions nuisibles, de déclencher un accès non autorisé aux données ou de manipuler les flux d’exécution autonomes.

Dans un récent article de blog, Certik a déclaré que sa plateforme de scan des compétences était spécialement conçue pour évaluer les risques émergeant lors de l’exécution, y compris les scénarios impliquant des transactions financières ou des appels de fonds. Le scanner génère un score numérique de 0 à 100, accompagné de verdicts « réussi », « avertissement » ou « échec » et de résultats classés par catégorie. Selon l’entreprise, le système atteint une précision allant jusqu’à 90,5 % dans l’identification des risques de sécurité.

« À mesure que les agents IA s’intègrent de plus en plus profondément dans les systèmes financiers, les flux de travail d’entreprise et les interactions numériques quotidiennes, le modèle de sécurité autour des compétences tierces devient d’une importance cruciale », a déclaré Ronghui Gu, PDG et cofondateur de Certik. « CertiK Skill Scanner a été conçu pour établir une couche de confiance standardisée avant l’exécution, aidant les utilisateurs et les plateformes à identifier les risques cachés avant que des données, des actifs ou des systèmes sensibles ne soient exposés. »

Certik a indiqué que les places de marché de compétences IA peuvent intégrer le scanner directement dans leurs pipelines de publication, examinant automatiquement les compétences avant leur mise en ligne et affichant les verdicts de sécurité aux utilisateurs. Les entreprises peuvent déployer l’outil dans le cadre de leurs workflows internes de conformité et de gestion des risques, tandis que les développeurs indépendants peuvent l’utiliser pour auto-auditer leurs compétences avant publication.

La société a indiqué que de futures mises à jour permettront aux utilisateurs lambda de scanner eux-mêmes les compétences avant leur installation. Le scanner a déjà été déployé dans certains environnements d’infrastructure d’agents IA Web3. Certik étend également ses intégrations à d’autres plateformes, notamment Finchip.ai.

« La confiance est la condition préalable au fonctionnement à grande échelle de toute économie des compétences », a déclaré Gary Yang, investisseur en incubation chez Finchip.ai. « Le travail de CertiK sur la vérification de la sécurité des compétences est exactement ce dont cet écosystème a besoin. C’est ce qui donne tout son sens à la mission de Finchip : la propriété et la distribution de compétences programmables. »

Ce lancement fait suite à l’expansion de Certik dans le domaine des infrastructures de sécurité axées sur l’IA. Plus tôt cette année, la société a lancé son initiative « AI Auditor » afin de traiter les risques liés aux systèmes autonomes et aux environnements d’exécution pilotés par l’IA. « Les applications d’IA évoluent vers une exécution de plus en plus autonome, ce qui crée une nouvelle catégorie de défis en matière de sécurité et de confiance », a déclaré Gu. « Nous pensons que les infrastructures de sécurité pour l’ère de l’IA doivent fonctionner de manière proactive, et non réactive. »