Une étude montre que les attaques de mémoire peuvent détourner les agents d'IA pour transférer des crypto-actifs

Princeton met en garde contre les attaques de manipulation de contexte sur les agents d'IA Web3. Illustration : Une fille tenant la main d'un robot (Source de l'image : Andy Kelly, Unsplash)

Des chercheurs de Princeton mettent en évidence une faille d'"empoisonnement de la mémoire" dans les agents LLM : des injections de contexte malveillantes enfouies dans des magasins de vecteurs peuvent passer outre les garde-fous et détourner des portefeuilles de crypto-monnaie.

Nathan Ali (traduit par Ninh Duy), Publié 05/14/2025 🇺🇸

AI Cryptocurrency Security

Des chercheurs de l'université de Princeton ont montré https://arstechnica.com/security/2025/05/ai-agents-that-autonomously-trade-cryptocurrency-arent-ready-for-prime-time/ que les agents à grand modèle linguistique chargés des portefeuilles de crypto-monnaie et des opérations de contrats intelligents peuvent être détournés une fois qu'un attaquant modifie le contexte stocké des agents, une faiblesse que l'équipe qualifie d'"empoisonnement de la mémoire"

Leur étude https://arxiv.org/pdf/2503.16248 affirme que les défenses actuelles - principalement les filtres rapides - ne font pas grand-chose une fois qu'un texte malveillant se glisse dans le magasin de vecteurs ou la base de données d'un agent. Lors d'expériences, de courtes injections enfouies dans la mémoire ont systématiquement surmonté les garde-fous qui auraient bloqué le même texte s'il était arrivé sous la forme d'une invite directe.

L'équipe a validé l'attaque sur ElizaOS, un cadre open-source dont les agents de portefeuille agissent sur les instructions de la blockchain. Après avoir empoisonné la mémoire partagée, les chercheurs ont amené ces agents à signer des appels de contrats intelligents non autorisés et à transférer des actifs cryptographiques vers des adresses contrôlées par l'attaquant, ce qui prouve qu'un contexte fabriqué se traduit par une perte financière réelle.

Comme ElizaOS permet à plusieurs utilisateurs de partager l'historique d'une conversation, une seule session compromise entache toutes les autres sessions qui touchent la même mémoire. L'article avertit que tout déploiement multi-utilisateurs d'agents LLM autonomes hérite de ce risque de mouvement latéral, à moins que les mémoires ne soient isolées ou vérifiables.

Les auteurs recommandent de traiter les mémoires comme des enregistrements en annexe seulement, de signer cryptographiquement chaque entrée et d'acheminer les actions à fort enjeu - paiements et approbations de contrats - par l'intermédiaire d'un moteur de règles externe au lieu de faire confiance au raisonnement propre du modèle. Tant que ces mesures ne seront pas devenues la norme, confier de l'argent réel à des agents autonomes restera un pari.