Cybersécurité : cette IA a déjoué plus de 6000 hacks et révèle la plus grande menace pour votre entreprise

Ouvrir la boîte mail d’un agent IA à tout internet et promettre une récompense à qui le piratera ressemble à un pari perdu d’avance. C’est pourtant ce qu’a fait le développeur Fernando Irarrázaval avec son assistant OpenClaw, baptisé Fiu, basé sur Claude Opus 4.6 d’Anthropic. Résultat : plus de 6 000 tentatives de hack par injection de requêtes, aucune fuite du fichier ultra sensible secrets.env.

Cette expérience baptisée HackMyClaw intervient alors que les injections de prompt sont décrites comme « Un nouveau type de menace sur internet. » par Bruno Lussato à franceinfo, et que OpenAI les présente depuis fin 2025 comme un problème « peu susceptible d’être totalement résolu un jour », avec des attaques qui réussissent encore dans 80 % des cas. Ce crash-test grandeur nature d’un agent autonome interressant soulève donc une question clé : que nous dit-il, concrètement, de la sécurité des agents IA ?

HackMyClaw : le défi public lancé à l’agent IA Fiu

La motivation de Fernando Irarrázaval part d’un constat simple : la prolifération d’agents IA connectés à des comptes, des bases de données ou des portefeuilles en ligne attire les attaquants. Cryptoast rappelle par exemple qu’un pirate a déjà réussi à détourner l’équivalent de 200 000 dollars (environ 185 000 €) détenus par un agent Grok à l’aide d’une simple requête envoyée en morse. D’où cette provocation mise en avant par le développeur : « Pensez-vous être capable de compromettre un agent OpenClaw ? ». Pour passer des paroles aux actes, il publie la boîte de réception de Fiu sur le site Hacker News et promet 100 dollars de prime, soit un peu plus de 90 €, à quiconque parviendra à faire divulguer le fichier secrets.env.

Les règles du jeu, rapportées par Cryptoast, étaient limpides : « HackMyClaw est en ligne ! 100 dollars à la personne qui réussira à tromper mon assistant IA pour qu’il divulgue le fichier secrets.env. Les règles : votre seule arme est l’e-mail ([email protected]), Fiu relève sa boîte de réception toutes les heures, une simple attaque par injection de prompt ne suffira pas. Pensez-vous être capable de compromettre un agent OpenClaw ? ». Plus de 6 000 messages hostiles vont affluer, certains à quelques minutes d’intervalle, pour tenter de pousser Fiu à ignorer ses consignes de sécurité. Aucune requête n’a obtenu la moindre ligne du fichier ciblé, au prix toutefois de plus de 500 dollars (environ 460 €) de frais d’API et d’une suspension de la boîte Gmail de Fiu pendant plus de trois jours, ce que le développeur résume ainsi : « L’expérience a été passionnante, mais le coût de l’infrastructure en production et de l’utilisation des modèles d’IA était trop élevé pour être maintenu indéfiniment. »

Injection de requêtes : une menace systémique pour les agents IA en entreprise

Le test HackMyClaw cible un vecteur d’attaque très précis : l’injection de requêtes, ou prompt injection. Bruno Lussato la décrit comme « il y a une vraie analogie avec le ‘phishing’ ou ‘hameçonnage’, lorsqu’un hacker vous envoie un mail avec un lien malveillant. Une injection de requête, c’est une attaque équivalente, sauf que là on va attaquer une intelligence artificielle avec du texte. » Il résume le mécanisme en une phrase : « En cachant du langage sur internet, l’IA va exécuter des instructions qui n’étaient pas prévues. » C’est « C’est une forme de hacking, puisque l’intelligence artificielle fonctionne uniquement avec du langage humain. » L’enjeu devient critique quand on sort du simple chat conversationnel : « Ce n’est possible que si vous sortez des IA génératives, comme ChatGPT ou Mistral, pour aller sur des agents IA qui ont la capacité de se déplacer dans votre navigateur ». Pour lui, « En 2025-2026, c’est véritablement l’émergence des agents IA, développe l’ambassadeur d’Osez l’IA, un assistant intelligent, intégré à un navigateur, capable de lire une page, de la résumer, de l’expliquer, de prendre des actions, de passer d’une page à l’autre… ».

Dans les entreprises, cette évolution arrive sur un terrain déjà fragile. Le rapport 2025 Identity Security Landscape de Palo Alto Networks cité par ZDNet indique que les identités machines sont désormais 82 fois plus nombreuses que les identités humaines, tandis que 72 % des employés utilisent des outils d’IA alors que 68 % des organisations n’ont aucun contrôle de sécurité sur ces identités. Wendi Whitmore résume la bascule dans The Register : « l’agent IA lui-même devient la nouvelle menace interne ». Pour limiter le rayon d’impact en cas d’injection de prompt réussie, ZDNet recommande d’attribuer une identité propre à chaque agent, d’appliquer un principe de moindre privilège, d’utiliser des jetons d’accès à durée limitée, d’isoler les agents dans l’architecture du SI, et de maintenir une validation humaine sur les actions sensibles, ce que Bruno Lussato formule ainsi : « Ne jamais laisser l’IA tout faire automatiquement mais faire en sorte que, sur les validations critiques qui touchent aux paiements, à des validations d’identité, l’IA vous permette d’avoir le dernier clic pour la validation. » Dans ce contexte mouvant, il constate que « Toute une industrie de la cybersécurité est en train d’émerger autour de l’IA. » et que « En parallèle les éditeurs d’intelligence artificielle travaillent sur des équivalents d’antivirus, donc sur des filtres, des vérifications humaines et des formes d’antivirus linguistiques capables de repérer ces manipulations. » Le chercheur « wunderwuzzi » rappelle d’ailleurs que « Certaines menaces ne sont même pas encore identifiées », tandis que Bruno Lussato anticipe que « Les choses vont s’équilibrer, mais cela va rester une cybermenace comme il en existe d’autres aujourd’hui ».