Pourquoi le proxy LLM compte davantage avec les agents

La meilleure manière d'être en désaccord avec deux personnes intelligentes, c'est de les lire toutes les deux attentivement.

En décembre 2024, Mike Krieger — CPO d'Anthropic, l'un des responsables de la mise en production de Claude — déclarait que les agents autonomes étaient « encore à au moins un an de pouvoir travailler de manière autonome » (Axios, AI+ Summit). Un an plus tard, sur le podcast de Dwarkesh Patel, Andrej Karpathy qualifie 2025 de « décennie des agents, pas de l'année des agents » et parle de « slop » à propos de la génération actuelle — pas parce que la recherche est mauvaise, mais parce que ces agents manquent de mémoire, de multimodalité, d'apprentissage continu, et d'un usage fiable de l'ordinateur (Dwarkesh Patel, octobre 2025). À Davos en janvier 2025, Yann LeCun va plus loin : « Construire des systèmes agentiques sur les LLM est une recette pour le désastre » — son argument étant que les agents ont besoin d'un modèle du monde que les LLM actuels ne possèdent structurellement pas (Fortune, retour Davos 2026).

Si vous prenez ces trois citations comme une thèse sur l'IA agentique, vous concluez que tout le segment est sur-vendu et qu'aucune stratégie produit pariant sur un basculement agentique n'est défendable. Cette conclusion est fausse, mais la manière dont elle est fausse est la seule question intéressante pour qui construit de l'infrastructure runtime aujourd'hui.

Le vrai désaccord

Krieger, Karpathy et LeCun ne font pas le même argument.

Krieger fait un argument de déploiement : les agents d'aujourd'hui ont besoin de supervision ; le gradient d'autonomie est plus pentu que ce que laissent croire les démos. Cet argument a bien vieilli — voir le pivot Klarna documenté publiquement, où le rollout customer-service tout-IA a été partiellement inversé mi-2025 (Customer Experience Dive) — et il prend à contre-pied le tempo d'achat de toute entreprise qui a confondu un lancement avec une feature complete.

Karpathy fait un argument de capacité : même avec une décennie d'efforts, l'écart entre un agent qui résout une tâche dans un benchmark et un agent en qui on aurait confiance comme stagiaire est structurel. Sa timeline (une décennie) sert à pousser contre les promesses d'AGI en 2027.

LeCun fait un argument d'architecture : les LLM sont le mauvais substrat pour la décision autonome, point. Il finance une alternative (Advanced Machine Intelligence Labs) et son désaccord porte sur le substrat, pas sur le calendrier.

Maintenant, posez les données de déploiement par-dessus. L'AI Index 2026 de Stanford rapporte un taux de succès Terminal-Bench passant de 20 % en 2025 à 77,3 % en 2026 — une multiplication par quatre en douze mois sur un benchmark censé prendre plus longtemps (Stanford HAI, AI Index 2026). MIT Sloan et BCG situent à 35 % la part d'organisations utilisant l'IA agentique, avec moins de 10 % qui ont scalé sur une fonction donnée (BCG). Eurostat estime à 20 % l'adoption globale de l'IA dans les entreprises EU fin 2025 (Eurostat, décembre 2025). Le State of European AI de Lleverage situe l'adoption agent en Europe à 12 %.

Ce que les données montrent vraiment : la capacité progresse vite sur des benchmarks étroits ; le déploiement en production à l'échelle, non. Les deux métriques vivent sur des courbes différentes. La question du proxy — ce qu'on met entre un LLM et le monde — ne dépend pas de la courbe sur laquelle on parie. Elle dépend de la surface des appels que ces agents font, indépendamment de leur fonctionnalité au sens benchmark du terme.

Ce que MCP change structurellement

Pendant la majeure partie de 2024, construire une feature LLM voulait dire appeler un endpoint chat-completions avec un message utilisateur et un message système. Auditer cet appel, globalement, était possible : deux strings entrent, une string sort, la trace vit dans les logs applicatifs.

Puis Anthropic a publié le Model Context Protocol en novembre 2024, l'a donné à la Linux Foundation fin 2025, et le reste de l'industrie a construit dessus. OpenAI a livré AgentKit au DevDay 2025 (OpenAI, AgentKit). Mistral a publié son Agents API (Mistral). Google a poussé A2A v1.0 en GA avec la Gemini Enterprise Agent Platform. Microsoft a poussé les agents Copilot Studio en GA à 349 $/mois par agent. Rien de tout cela n'est hypothétique : ça expédie en prod.

Ce qui expédie avec, c'est une surface différente. Une seule requête utilisateur explose désormais en session multi-step : l'agent lit des documents dans un vector store, appelle un outil, reçoit la sortie, décide d'appeler un autre outil, finit par composer une réponse. Le fournisseur LLM auquel vous parlez n'est plus le seul élément de la boucle. Le nombre de tokens qui traversent la frontière se multiplie. Le nombre de prompts distincts qui la traversent se multiplie. Le nombre d'entrées non fiables qui la traversent — sous forme de sorties d'outils et de contenus de documents — se multiplie d'une autre façon encore.

Cinq plateformes européennes ont rendu cela concret en 2025 en livrant des intégrations MCP en production :

• Mollie (NL) a livré un serveur MCP pour les marchands et un chemin Agentic Commerce Protocol fin 2025 (fintech.global, novembre 2025).
• Bitmovin (AT) a livré son Agentic AI Hub sur MCP en novembre 2025.
• Supermetrics (FI) a livré son Insights Agent + serveur MCP.
• AMBOSS (DE) a livré AMBOSS MCP pour la recherche médicale.
• Quantexa (UK) a livré son Agent Gateway avec MCP sur OpenAI, Claude, Mistral et Gemini en novembre 2025.

Ce ne sont pas des pilotes. Ce sont des clients qui paient, intégrés à des chemins de production, dans des secteurs régulés. Et chacun de ces systèmes opère désormais avec une surface d'attaque pour l'injection de prompt, l'exfiltration, l'abus d'appel d'outils et l'épuisement de budget structurellement plus large qu'il y a dix-huit mois.

Le lethal trifecta est l'argument porteur

La contribution la plus claire de Simon Willison à cette conversation, c'est le lethal trifecta : un agent IA devient structurellement dangereux dès qu'il combine (a) un accès à des données privées, (b) une exposition à du contenu non fiable, (c) la capacité de communiquer vers l'extérieur (Simon Willison, juin 2025).

Relisez les trois jambes. La première, c'est tout l'intérêt d'un agent enterprise — s'il ne voit pas vos données privées, il ne sert à rien. La deuxième est inévitable dès que votre agent lit un document, un email ou la sortie d'un outil qui vient hors de votre périmètre de confiance. La troisième est inévitable dès que votre agent peut faire autre chose que produire du texte — appeler une API, envoyer un email, écrire en base, parler à un autre agent.

Si les trois sont présentes, un attaquant peut parfois — et dans les cas documentés, l'a fait — exfiltrer des données privées simplement en injectant des instructions dans le contenu que l'agent lit (recherche HiddenLayer). Le groupe OWASP GenAI a placé l'injection de prompt en LLM01 du Top 10 LLM 2025 (OWASP GenAI). La position du NCSC britannique est sans ambiguïté : l'injection de prompt est une propriété structurelle des LLM, pas un bug à patcher (NCSC via CyberScoop).

La conclusion de Willison lui-même est structurelle : la seule défense fiable, c'est de couper l'une des trois jambes par design. C'est exactement ce que fait un proxy runtime, bien ou mal, selon sa sophistication. C'est l'endroit dans l'architecture où vous pouvez :

• imposer que le chemin de communication externe de l'agent passe par un seul point de contrôle, surveillé ;
• inspecter chaque document et chaque sortie d'outil que l'agent lit, avant que le LLM les voie ;
• décider, par appel, si l'agent a le droit d'escalader vers l'outil suivant ;
• attribuer chaque action à une session, un utilisateur, un budget et une politique.

Notez ce que cet argument n'exige pas. Il n'exige pas de parier que Karpathy se trompe sur la décennie. Il n'exige pas de parier que Krieger se trompe sur l'année. Il n'exige même pas de parier que LeCun se trompe sur le substrat. L'argument tient tant que quelqu'un livre des agents en production — ce qui est démontrablement le cas, en Europe en particulier, et dans des secteurs régulés en particulier.

Ce que cela écarte

Les gateways d'observabilité LLM-API pures — proxys dont la valeur ajoutée tient au logging, au caching et au contrôle des coûts sur les endpoints chat-completions. Elles répondent à un besoin réel et actuel. Mais leur modèle de données suppose un prompt en entrée, une réponse en sortie, attribution par appel. Dès que la charge devient une session MCP multi-step, ce modèle produit des logs techniquement corrects et opérationnellement inutilisables. La question de conformité « qu'a vu et fait cet agent durant cette session ? » n'est pas reconstructible à partir de lignes par appel.

Les plateformes d'orchestration agent pures marketées comme si la couche sécurité était un sous-produit de l'orchestration. Le lethal trifecta est une propriété du système, pas d'un composant unique. Un orchestrateur qui exécute l'agent et les contrôles dans le même process hérite des hypothèses de confiance de l'agent — exactement ce contre quoi Willison met en garde (blog allardewinter). L'observabilité sécurité doit vivre hors du périmètre de confiance de l'orchestrateur, sinon l'attaquant qui compromet l'agent a compromis le surveillant.

Aucune de ces positions n'est fausse sur le présent. Toutes deux deviennent plus coûteuses à défendre sur les dix-huit prochains mois — en Europe spécifiquement, où l'article 15 du EU AI Act, l'ANSSI-PA-102 (avril 2024) et les obligations CRA à venir font des preuves conservées sur les sessions agentiques un artefact réglementaire, pas seulement un artefact d'ingénierie.

La roadmap comme argument, pas comme listing produit

La raison pour laquelle ce texte est écrit maintenant, plutôt qu'après livraison, c'est que la fenêtre d'enforcement EU AI Act ouvre le 2 août 2026 — cinq mois après ce post — et que les design partners avec qui nous voulons travailler sur le chemin agent-aware sont ceux qui livrent déjà du MCP aujourd'hui.

Ce qui est en production chez Senthex aujourd'hui, sur le chemin LLM-API, c'est la base. Vingt-six shields concurrents sur la frontière d'appel, chemin d'inférence EU-only, un journal d'audit conçu pour soutenir les exigences de preuve de l'article 15 (verdicts shields par appel, scores, timestamps, contrôles de rétention). Ce travail n'est pas déprécié par ce qui vient ; c'est le substrat qui rend la suite défendable.

Ce qui sort ensuite, c'est le tracing session-aware pour les boucles agentiques de type MCP : un objet d'audit unique qui joint chaque appel d'outil, chaque lecture de document, chaque invocation de modèle dans une session, avec les verdicts shields attachés à chaque étape. Plafonds de budget par session. Gates de politique par outil. Le sens de publier le calendrier maintenant, ce n'est pas d'annoncer des features qui n'existent pas ; c'est d'inviter les quelques équipes européennes qui livrent déjà du MCP en production à définir à quoi un audit session-aware devrait ressembler, avant qu'on l'expédie.

Si votre équipe est l'une des cinq mentionnées plus haut — ou l'une des autres sur le même chemin que nous n'avons pas encore trouvées — nous prenons un nombre limité de design partners en amont du livrable Q3/Q4 2026 sur le tracing par session. Le seuil est concret : une intégration MCP en production aujourd'hui, un acheteur qui pose des questions de conformité auxquelles vous ne pouvez pas répondre intégralement avec des logs par appel, et une opinion sur ce que devrait être un audit article 15 pour les sessions agentiques.

Ce que cet article ne prédit pas

Un manifesto qui se termine par des prédictions a généralement tort. Donc voici plutôt les conditions sous lesquelles l'argument ci-dessus s'invalide lui-même.

L'argument tombe si MCP est remplacé, dans les douze mois, par un protocole fondamentalement différent qui absorbe le trifecta dans la couche protocole elle-même. Nous ne voyons pas de candidat aujourd'hui ; A2A est un pair, pas un successeur. Si nous nous trompons, nous le dirons.

L'argument tombe si les guardrails côté fournisseur (Bedrock, Azure Content Safety, Vertex Safety, le filtrage interne d'Anthropic) absorbent les contrôles agent-level avant que les acheteurs ne le remarquent. Nous les voyons aller dans cette direction, mais le caractère in-process et in-trust-boundary des contrôles côté fournisseur est précisément ce contre quoi la littérature sur le trifecta met en garde.

L'argument tombe si les entreprises EU décident que l'IA agentique est un sujet 2027. Le chiffre <10 % de scaled-deployment de McKinsey laisse de la place à ce scénario. Notre couverture est explicite : le proxy LLM-API est le chemin porteur pour le mid-market EU prévisible, et le chemin agent se construit par-dessus, pas à la place.

Nous reviendrons vérifier dans dix-huit mois. D'ici là, la question n'est pas de savoir si les agents sont à un an ou à une décennie. La question est à quoi ressemble la surface des systèmes qui livrent en ce moment — et si l'infrastructure runtime sous eux a été conçue pour cette surface, ou pour la plus simple que nous avions avant.

---

Vous voulez discuter du programme design partner ? security@senthex.com. Le mapping complet article 15 / ANSSI-PA-102 / RGPD pour la couche proxy se trouve sur la page conformité EU AI Act.