Vos agents IA peuvent être piratés, et ils oublient tout.

Des chercheurs ont hacké des agents IA — et c'était trop facile.

Votre assistant IA vient de vider votre boîte mail et transféré de l'argent — sans que vous le lui ayez demandé.

Une équipe de chercheurs a construit une plateforme appelée DTap pour tester la sécurité des agents IA. Ces agents, ce sont les assistants qui ne se contentent plus de répondre à des questions, mais qui agissent : ils envoient des e-mails, passent des commandes, gèrent des calendriers. Pour les tester, l'équipe a simulé plus de 50 environnements numériques — Gmail, PayPal, Slack — et lancé des attaques automatisées via cinq canaux différents : des instructions cachées dans des e-mails, des outils piégés, des images contenant du texte malveillant invisible à l'œil nu. Imaginez qu'un inconnu glisse un faux bon de commande sous votre porte : votre assistant le lit, l'exécute, sans jamais se demander si c'est vraiment vous qui avez commandé. On appelle ça une injection de prompt — une instruction déguisée que l'agent interprète comme légitime. Les résultats sont nets. Même le meilleur agent testé — Claude Code d'Anthropic — cède dans plus de 25 % des attaques. Google ADK atteint 55,7 % de taux de succès pour les attaquants. Des clés d'API ont été volées, des données supprimées, des transactions non autorisées déclenchées. Le hic : ces attaques sont testées dans des environnements simulés, pas dans des déploiements réels en production. Et les chiffres varient beaucoup selon le type d'attaque et l'agent ciblé. Ce n'est pas une catastrophe imminente. Mais c'est un signal clair : les agents IA qu'on déploie aujourd'hui n'ont pas encore les réflexes de sécurité qu'on attendrait d'un employé humain. Avant de leur confier votre agenda et votre carte bleue, il reste du travail.

Un agent IA qui gère sa propre mémoire pendant qu'il cherche sur le web.

Un agent IA qui cherche depuis une heure a un problème concret : il a oublié ce qu'il a lu au début.

Quand un agent IA cherche des informations complexes — construire un rapport, croiser des sources multiples — il accumule rapidement une quantité de texte qui dépasse sa capacité de traitement. C'est comme essayer de suivre une enquête policière en relisant toutes vos notes depuis la page un à chaque nouvel indice : à un moment, la pile déborde et vous perdez le fil. Une équipe de chercheurs a publié LongSeeker, un système entraîné sur 10 000 trajectoires de recherche synthétiques. L'idée centrale : donner à l'agent cinq opérations pour gérer sa propre mémoire de travail pendant qu'il cherche. Il peut résumer ce qu'il a déjà résolu (Compress), sauter les passages inutiles (Skip), effacer les pistes mortes (Rollback), sauvegarder les preuves importantes (Snippet), ou supprimer des blocs entiers pour libérer de la place (Delete). Le modèle de base — Qwen3-30B, un grand modèle de langage open source — a été affiné avec ces opérations. Sur le benchmark BrowseComp, un test de recherche web à questions multi-étapes réputé difficile, LongSeeker atteint 61,5 % de bonnes réponses, contre 43,2 % pour Tongyi DeepResearch, son principal concurrent. Le hic : les données d'entraînement sont synthétiques, pas issues de vraies sessions de recherche humaine. Et l'équipe n'a pas encore ajouté d'étape d'apprentissage par renforcement — ce qui laisse de la marge de progression. C'est un vrai bond en avant sur un benchmark précis. Mais un benchmark reste un banc d'essai en laboratoire, pas une journée de travail réelle.

Ce robot comprend enfin l'espace autour de lui — et il est deux fois plus rapide.

Un bras robotique qui ne sait pas où il est dans l'espace, c'est comme essayer d'attraper un verre les yeux bandés.

Les robots manipulateurs — ceux qui attrapent, déplacent, assemblent des objets — ont un problème fondamental : ils voient en 2D mais vivent en 3D. Et si l'objet bouge ou que la lumière change, ils recalculent tout depuis zéro. C'est comme attraper une balle en regardant uniquement une photo fixe, et recommencer le calcul à chaque tentative. Une équipe de chercheurs a présenté ConsisVLA-4D, un système qui greffe trois modules sur un robot existant — OpenVLA — pour lui donner un sens de l'espace et du temps. Le premier module, CV-Aligner, compare plusieurs angles de caméra simultanément et ne garde que les informations pertinentes : l'objet à saisir, pas le mur derrière. Il compresse ainsi le flux visuel à un huitième de sa taille initiale. Le deuxième, CO-Fuser, traduit la géométrie 3D de la scène en une représentation compacte. Le troisième, CS-Thinker, anticipe comment la scène va évoluer dans la prochaine seconde. Sur le banc de test simulé LIBERO, les tâches réussies progressent de 21,6 % par rapport au robot de référence. Sur de vrais robots physiques, l'amélioration grimpe à 41,5 %. Le système tourne 2,3 fois plus vite, parce qu'il traite beaucoup moins d'images brutes. Le hic : les résultats « en conditions réelles » manquent de détails — combien d'essais, quels objets, quel environnement exactement ? La comparaison ne porte que sur un seul système de référence. C'est prometteur, mais pour être convaincu, il faudrait voir ces chiffres confirmés sur une gamme plus large de tâches et de robots.

Trois papiers aujourd'hui, trois angles sur le même sujet : les agents IA ont grandi. Ils cherchent sur le web, ils manipulent des objets, ils gèrent vos outils numériques. Et c'est précisément parce qu'ils font plus de choses qu'ils exposent plus de failles. DTap nous dit que les agents actuels sont vulnérables dès qu'on leur confie un environnement réel — pas parce que les chercheurs ont fait du mauvais travail, mais parce que la surface d'attaque explose quand l'IA cesse de répondre et commence à agir. LongSeeker pointe un problème cognitif : un agent qui perd le fil de sa propre recherche hallucine ou se contredit. Et ConsisVLA-4D montre que même dans le monde physique, comprendre l'espace n'est pas encore acquis. Ce que ces trois travaux disent ensemble : on est en train de passer de l'IA comme oracle — vous posez une question, elle répond — à l'IA comme acteur. Et ce passage exige des garanties que le domaine n'a pas encore construites. Ce n'est pas une raison de paniquer. C'est une raison de ne pas déployer ces agents à l'aveugle.

À surveiller dans les prochaines semaines : la conférence ICRA 2025 (International Conference on Robotics and Automation) est en cours ce mois-ci à Atlanta — les résultats sur les systèmes embarqués en robot réel devraient y être discutés, et ConsisVLA-4D pourrait y trouver une comparaison plus large. Du côté de la sécurité des agents, la question ouverte est simple : qui va définir les standards de test avant que ces agents soient déployés à grande échelle ? Pour l'instant, personne ne s'est encore clairement positionné.

• Wikipedia — Prompt injection (en anglais, entrée de référence)
• Wikipedia — Embodied cognition (contexte pour la robotique incarnée)