Comment empêcher l'injection de prompt de cascader entre agents IA

Réponse courte

Avec les agents, la sortie du modèle déclenche des actions — appels d'outils, d'API, voire paiements — donc une seule entrée empoisonnée peut cascader en effets réels. Senthex s'interpose devant chaque modèle et frontière d'outil, détectant l'injection avant que l'agent n'agisse et enregistrant un audit trail unique sur les appels de l'agent. Dans notre expérience ATLAS, un pare-feu en mode enforcing a déclenché le virement frauduleux dans 0 run sur 17, contre 17 sur 18 sans lui.


Pourquoi l'injection de prompt est-elle pire pour les agents IA ?

Un chatbot jailbreaké dit quelque chose qu'il ne devrait pas. Un agent injecté fait quelque chose qu'il ne devrait pas — parce qu'il a des outils. Le schéma de danger classique est la « lethal trifecta » (terme de Simon Willison) : entrée non maîtrisée + accès à des données ou outils privés + un moyen d'exfiltrer ou d'agir. Réunissez les trois dans une boucle d'agent et un attaquant qui contrôle un document, un e-mail ou un ticket de support peut piloter les actions de l'agent. Les montages multi-agents et MCP élargissent cela : un message empoisonné peut se propager d'agent en agent.

Qu'a réellement montré l'expérience ATLAS ?

Nous avons mené une étude contrôlée (ATLAS Lab #1) sur un workflow d'agent support. Un seul ticket de support empoisonné instruisait l'agent d'émettre un virement type remboursement. Sans contrôle enforcing, l'agent a suivi l'instruction injectée et déplacé 48 500 € dans 17 runs sur 18. Avec un pare-feu enforcing qui bloque à la détection, le virement frauduleux s'est déclenché dans 0 run sur 17. C'est un scénario, pas une garantie universelle — mais il montre pourquoi détecter en mode shadow n'équivaut pas à stopper l'action. Lisez la méthode complète et les réserves.

Comment un proxy aide-t-il à sécuriser les agents et les outils MCP ?

Parce que Senthex est dans le chemin d'appel, il donne à une stack d'agents un point de contrôle cohérent :

  • Détecter avant l'action — les shields tournent sur l'entrée qui piloterait le prochain appel d'outil, et le mode enforcing bloque au lieu de seulement journaliser.
  • Un audit trail unique sur chaque modèle et outil que l'agent touche, pour reconstruire la chaîne après coup.
  • Signaux de défense en profondeur — fuite de secrets, stéganographie unicode et contrôles comportementaux visant la couche d'intégration qu'exposent les agents.

La thèse complète, c'est notre manifeste : les agents rendent le proxy porteur.

Les limites honnêtes

Un pare-feu devant vos agents réduit le risque ; il ne l'élimine pas.

  • Détection best-effort. Les mêmes limites LLM01 s'appliquent — les shields par motifs ont des failles.
  • La conception d'agents compte toujours. Outils à moindre privilège, approbation humaine pour les actions à fort impact (comme déplacer de l'argent) et périmètres d'outils serrés ne deviennent pas optionnels parce que vous avez ajouté un proxy.
  • Le registre d'audit vérifiable est un pilote. L'enregistrement de reconstruction de cascade est de la journalisation de métadonnées aujourd'hui ; la preuve SHA-256 + RFC 3161 + vérifieur offline est le pilote v1.1.7.

ATLAS Lab #1 — un seul ticket empoisonné, runs répétés

ConfigurationVirement frauduleux déclenchéCe qui s'est passé
Aucun contrôle enforcing (détection seule / shadow)17 runs sur 18l'agent a suivi l'instruction injectée et déplacé 48 500 €
Pare-feu enforcing (blocage à la détection)0 run sur 17l'instruction injectée a été bloquée avant que l'agent n'agisse
À retenirDétection ≠ préventionle mode shadow vous prévient ; le mode enforcing l'arrête — dans ce scénario

Questions fréquentes

Comment empêcher l'injection de prompt de cascader entre mes agents IA ?

Placez un contrôle enforcing devant chaque modèle et frontière d'outil. Senthex proxifie les appels de l'agent, exécute des shields d'injection et de couche d'intégration sur l'entrée qui piloterait le prochain appel d'outil, et en mode enforcing bloque au lieu de seulement journaliser — tout en gardant un audit trail unique sur toute la chaîne pour reconstruire ce qui s'est passé.

Pourquoi les agents sont-ils plus dangereux qu'un chatbot une fois injectés ?

Un chatbot dit quelque chose de faux ; un agent fait quelque chose de faux, parce qu'il a des outils. La lethal trifecta — entrée non maîtrisée + accès à des outils ou données + un chemin d'exfiltration ou d'action — laisse un attaquant qui contrôle un document, un e-mail ou un ticket piloter les actions de l'agent. Les montages multi-agents et MCP laissent un message empoisonné se propager entre agents.

Le résultat ATLAS signifie-t-il que Senthex bloque 100 % des attaques ?

Non. ATLAS Lab #1 est un scénario contrôlé : un seul ticket empoisonné où le pare-feu enforcing a déclenché le virement frauduleux dans 0 run sur 17, contre 17 sur 18 sans lui. Il montre que détecter n'équivaut pas à prévenir. Ce n'est pas une revendication de protection universelle — la détection est best-effort (OWASP LLM01).

Est-ce compatible avec MCP et les frameworks multi-agents ?

Senthex est un proxy transparent que vous atteignez en changeant le base_url ; il s'interpose donc devant les appels de modèle que font vos agents quel que soit le framework. Il vous donne un point de contrôle et un audit trail uniques sur les agents et outils de la boucle. Les périmètres d'outils serrés et l'approbation humaine des actions à fort impact restent votre responsabilité.

Puis-je reconstruire une cascade d'agents après coup ?

Oui — l'enregistrement par appel permet de parcourir la chaîne d'appels qu'un agent a faits et de voir quels shields ont déclenché. Prouver que cet enregistrement n'a pas été édité est le pilote v1.1.7 (chaîne SHA-256 + RFC 3161 + vérifieur offline). Voir les pages rejouer-une-décision-IA et prouver-ce-que-votre-IA-a-fait.

Placez un contrôle devant vos agents

Lisez l'étude ATLAS Lab #1 pour la méthode complète, puis démarrez sur le plan Free et faites passer votre trafic d'agents par Senthex en mode shadow d'abord. Pour un déploiement enforcing self-host, parlons-en.