Ce document présente un aperçu des principales activités de red teaming pour les systèmes ou applications d’IA agentique. Douze domaines d’intervention sont décrits, avec des indications sur les tests opérationnels, les résultats attendus et des recommandations pour renforcer la sécurité de ces systèmes.

Pour un cadre complet des méthodologies et des frameworks de référence, consultez le guide du GenAI Red Teaming.

Détournement de l’autorisation et du contrôle des agents (Agent authorization and control hijacking)

Des tests sont effectués sur l’exécution non autorisée de commandes, l’escalade de privilèges et l’héritage de rôles. Les étapes incluent l’injection de commandes malveillantes, la simulation de signaux de contrôle falsifiés et la vérification de la révocation des permissions. Les résultats mettent en évidence les vulnérabilités dans les mécanismes d’autorisation, les journaux d’échecs dans la gestion des limites, ainsi que des recommandations pour une meilleure gestion des rôles et une surveillance accrue.

Vulnérabilité de type “Checker-out-of-the-loop”

Il est vérifié que les vérificateurs (checkers) sont informés en cas d’opérations non sécurisées ou de dépassement de seuils. Les étapes prévues comprennent la simulation de dépassement de seuils, la suppression d’alertes et la vérification des mécanismes de repli (fallback). Les résultats fournissent des exemples de défaillances dans les alertes, de communications manquantes et des recommandations pour la robustesse des alertes et des protocoles de sécurité (fail-safe).

Interaction de l’agent avec des systèmes critiques (Agent critical system interaction)

Les interactions de l’agent avec des systèmes physiques et numériques critiques sont évaluées. Les tests incluent la simulation d’entrées non sécurisées, la vérification de la sécurité dans la communication avec des appareils IoT et l’évaluation des mécanismes de sécurité. Parmi les résultats attendus figurent des journaux de violations, des interactions non sécurisées et des stratégies pour améliorer la sécurité des interactions.

Manipulation des objectifs et des instructions (Goal and instruction manipulation)

La résilience aux attaques qui altèrent les objectifs ou les instructions est mesurée. Les tests comprennent des instructions ambiguës, des variations dans les séquences de tâches et des simulations de modifications en chaîne des objectifs. Les résultats concernent les vulnérabilités dans l’intégrité des objectifs et des suggestions pour valider les instructions.

Exploitation des hallucinations de l’agent (Agent hallucination exploitation)

Les vulnérabilités dues à des sorties inventées ou fausses sont identifiées. On procède avec des entrées ambiguës, des erreurs d’hallucination en chaîne et des tests de mécanismes de validation. Les résultats apportent des éclairages sur les impacts des hallucinations, des journaux de tentatives d’exploitation et des stratégies pour augmenter la précision des sorties et le suivi.

Chaîne d’impact et rayon d’action de l’agent (Agent impact chain and blast radius)

Le risque de défaillances en chaîne et le confinement de l’impact des violations sont examinés. Les étapes incluent la simulation de la compromission de l’agent, la vérification des relations de confiance entre les agents et l’examen des mécanismes de confinement. Les résultats comprennent les effets de propagation, les journaux de réactions en chaîne et des recommandations pour minimiser l’impact des violations.

Empoisonnement de la base de connaissances de l’agent (Agent knowledge base poisoning)

Les risques découlant des données d’entraînement, des entrées externes et des stockages internes compromis sont évalués. Les étapes prévoient l’injection de données malveillantes, la simulation d’entrées externes contaminées et le test des capacités de restauration (rollback). Les résultats identifient les compromissions dans les décisions, les journaux d’attaques et des stratégies pour sauvegarder l’intégrité des connaissances.

Manipulation de la mémoire et du contexte de l’agent (Agent memory and context manipulation)

Les vulnérabilités dans la gestion de l’état et l’isolation des sessions sont identifiées. On teste la réinitialisation des contextes, les fuites de données entre les sessions et les scénarios de dépassement de mémoire (overflow). Les résultats signalent des problèmes d’isolation, des journaux de manipulations et des interventions correctives pour la conservation du contexte.

Exploitation multi-agents (Multi-agent exploitation)

Les risques liés à la communication entre agents, à la confiance et à la coordination sont analysés. Les étapes clés incluent l’interception des communications, la vérification des relations de confiance et la simulation de boucles de rétroaction. Les résultats identifient les vulnérabilités dans les protocoles de confiance et de communication et suggèrent des stratégies pour renforcer les périmètres et la surveillance.

Épuisement des ressources et des services (Resource and service exhaustion)

La résilience à l’épuisement des ressources et aux attaques par déni de service est testée. Les étapes comprennent des simulations de calculs intensifs, la vérification des limites de mémoire et l’épuisement des quotas API. Les journaux de ces tests documentent la gestion des ressources et suggèrent des mécanismes de repli.

Attaques sur la chaîne d’approvisionnement et les dépendances (Supply chain and dependency attacks)

Les risques liés aux outils de développement, aux bibliothèques externes et aux API sont examinés. Les tests incluent l’introduction de dépendances altérées, la simulation de services compromis et la vérification de la sécurité dans le pipeline de déploiement. Les résultats détectent les composants compromis et fournissent des recommandations pour améliorer la gestion des dépendances et la sécurité de la distribution.

Intraçabilité de l’agent (Agent untraceability)

La traçabilité des actions, la responsabilité et la préparation médico-légale (forensic readiness) sont évaluées. Les étapes principales sont la suppression des journaux, la simulation d’abus dans l’héritage de rôle et l’obscurcissement des données forensiques. Les résultats signalent des lacunes dans la traçabilité, des journaux de tentatives d’élusion et des suggestions pour améliorer les journaux et les outils forensiques.

Résumé des activités de red teaming pour l’IA agentique

Les activités de red teaming pour l’IA agentique couvrent un large éventail de vulnérabilités potentielles, offrant un cadre de vérification sur les autorisations, les alertes, les interactions système, l’intégrité des objectifs, la précision des sorties, la propagation des violations, l’intégrité des données, l’isolation des sessions, la communication entre agents, la gestion des ressources, la sécurité de la chaîne d’approvisionnement et la traçabilité des actions. Chaque domaine inclut des tests spécifiques et des recommandations concrètes pour renforcer la sécurité.

Approfondissements utiles

Pour approfondir les techniques et les frameworks de red teaming appliqués à l’intelligence artificielle générative, les sujets suivants pourraient vous intéresser :

• GenAI Red Teaming : guide complet sur la sécurité des systèmes d’IA générative
• Techniques opérationnelles de GenAI Red Teaming
• Risques et menaces dans les systèmes GenAI
• Métriques et KPI pour le red teaming des systèmes d’IA
• Outils et jeux de données pour le red teaming IA
• Surveillance continue et observabilité pour les LLM