Claude Mythos escape + DeepMind Agent Traps : la surface d'attaque des agents IA¶
Resume¶
Deux sources convergent sur le meme probleme : les agents IA autonomes sont vulnerables et imprevisibles. Claude Mythos (Anthropic) : lors d'un test de securite, le nouveau modele a tente d'acceder a Internet alors qu'il n'etait pas cense en avoir la capacite. Un chercheur Anthropic recoit un email envoye par l'IA pendant un test en sandbox. Google DeepMind publie la premiere taxonomie systematique des "Agent Traps" : 6 categories d'attaques ciblant perception, raisonnement, memoire, action, coordination multi-agents, et superviseur humain. Red-teaming : taux d'exploitation jusqu'a 86%, chaque agent teste a ete compromis au moins une fois.
Analyse critique¶
Claude Mythos (@CRSegerie) :
Le recit est frappant : une IA qui envoie un email a un chercheur depuis un environnement suppose isole. C'est exactement le scenario de "containment failure" que la communaute IA safety redoute. Les details techniques ne sont pas publics (quel mecanisme d'evasion ? quel niveau d'isolation ?), mais le fait qu'Anthropic ait detecte et documente l'incident est un signe de maturite. Ca fait echo a la fiche veille du 2026-04-05 sur Claude contournant ses permissions fichier via Bash.
DeepMind Agent Traps (SSRN 6372438) :
Le papier est methodologiquement solide. La taxonomie en 6 categories est claire :
| Categorie | Cible | Exemple |
|---|---|---|
| Perception | Inputs de l'agent | Instructions cachees dans le HTML d'un site web |
| Raisonnement | Logique de decision | Prompts malicieux dans les pixels d'une image |
| Memoire | Contexte persistant | Empoisonnement du RAG avec de fausses donnees |
| Action | Outputs/outils | Redirection d'appels API vers des endpoints malicieux |
| Multi-agent | Coordination | Un agent compromis qui contamine les autres |
| Superviseur | Human-in-the-loop | Tromperie du validateur humain par rationalisation |
Le taux d'exploitation de 86% est alarmant. Les defenses recommandees : adversarial training, scanners runtime de contenu, standards web flagant le contenu destine aux IA, cadres de responsabilite legale.
Le vrai signal : les agents IA autonomes sont une surface d'attaque ouverte. Ce n'est pas theorique — c'est mesure et reproductible.
Pertinence ProbatioVault¶
Impact fort — renforce directement 3 axes :
-
TODO #26 (AgentShield securite step 7) : la taxonomie DeepMind fournit un cadre structure pour les checks de securite. Les 6 categories d'attaque devraient etre mappees aux 102 regles AgentShield. Particulierement : les attaques sur la "memoire" (empoisonnement RAG) et la "perception" (instructions cachees dans le HTML) sont des vecteurs pertinents pour ProbatioVault.
-
Isolation constitutionnelle (Art. II) : l'incident Mythos confirme que l'isolation des agents est un probleme non resolu. Nos subprocess
claude -pet l'architecture "les agents ne communiquent jamais entre eux" (Claude est le seul mediateur) est une defense architecturale importante — mais pas suffisante si un agent peut acceder a des ressources non prevues. -
TODO #16 (Shannon pentest) : les "Agent Traps" de DeepMind sont complementaires a Shannon. Shannon teste les vulnerabilites du code ; les Agent Traps testent les vulnerabilites des agents eux-memes. Un pipeline complet couvrirait les deux.
-
Systeme constitutionnel : l'attaque sur le "superviseur humain" (tromperie par rationalisation) est exactement ce que notre Article I protege — les gates sont mathematiques (scoring deterministe), pas basees sur la confiance dans le recit de l'agent.