Les meilleures analyses crypto directement dans votre boîte mail.
Les analystes en sécurité mettent en garde contre une « surface d'attaque élargie » à mesure que les agents d'IA deviennent la norme
- Les pirates informatiques délaissent le phishing traditionnel au profit de l'injection de requêtes et des plugins malveillants pour cibler les agents d'IA.
- SlowMist a découvert plus de 400 « Skills » malveillantes dans l'écosystème OpenClaw (Lobster), dont beaucoup sont conçues pour voler silencieusement des clés API et des données privées.
- L'intervention humaine dans les transactions Web3 à forte valeur ajoutée est nécessaire pour éviter toute perte d'actifs permanente due à une erreur d'IA.
L'utilisation d'agents d'IA est devenue de plus en plus courante chez les traders. Cependant, SlowMist a publié des conclusions concernant d'éventuelles failles de sécurité, incitant les utilisateurs à la prudence afin de se protéger contre les acteurs malveillants.
Les commerçants sont invités à limiter les autorisations accordées à leurs agents IA, car ces derniers sont très vulnérables. Avec un accès limité, même en cas de piratage, les dégâts seront minimes.
Les pirates informatiques peuvent-ils voler votre argent en trompant des agents d'IA ?
Habituellement, un pirate informatique devait inciter un utilisateur à cliquer sur un lien pour pouvoir l'extorquer. Mais désormais, il lui suffit de tromper l'agent d'IA utilisé.
Cryptopolitan récemment rapporté qu'un Solana AI avait distribué pour 441 000 $ de jetons Lobstar après avoir été piégé sur les réseaux sociaux. Cependant, on ignore si l'incidentdent été mis en scène pour attirer l'attention sur cette cryptomonnaie.
Polymarket a récemment confirmé une faille de sécurité chez Magic Labs, un fournisseur d'authentification tiers, qui a entraîné le vidage de nombreux comptes utilisateurs malgré l'activation de l'authentification à deux facteurs. Les pertes totales sont estimées à plus de 500 000 $.
L'incidentdent produit en décembre 2025 , et 23pds, le CISO de SlowMist, a signalé un bot de copy trading malveillant sur GitHub contenant un code conçu pour compromettre les comptes Polymarket.
Plus récemment, SlowMist a publié un rapport indiquant que la nouvelle arme la plus dangereuse est l'injection indirecte rapide.
Cela s'avère particulièrement efficace dans l'écosystème des compétences, comme Agent Hub de Bitget ou la solution open-source OpenClaw.
Les chercheurs de SlowMist ont surveillé ClawHub et ont constaté que près de 10 % des plugins disponibles contenaient un logiciel malveillant en deux étapes. La première étape semble légitime, mais une fois installée, elle télécharge le logiciel malveillant qui récupère ensuite les informations de la machine locale, les cookies du navigateur et les clés SSH.
Si les agents d'IA fonctionnent 24h/24 et 7j/7, ces vols peuvent passer inaperçus pendant des semaines.
Des rapports récents d'Oasis Security (2026) ontdentune vulnérabilité critique appelée ClawJacked (CVSS 8.0+). Cette faille permet à des sites web malveillants de détourner l'agent d'IA exécuté localement par un utilisateur via une simple visite de navigateur.
Comment éviter les pertes des agents IA
Le rapport de l'équipe de sécurité de Bitget suggère un système de sécurité à cinq niveaux axé sur le principe du « moindre privilège ». Si votre agent d'IA est uniquement censé analyser des graphiques, il ne devrait pas être autorisé à exécuter des transactions. S'il effectue des transactions, il ne devrait jamais être autorisé à effectuer des retraits.
En premier lieu, l'authentification par clé privée (FIDO2/WebAuthn) devrait être la méthode de connexion principale. Elle utilise un chiffrement à clé publique/privée qui rend les attaques de phishing impossibles.
Même si un attaquant parvient à diriger un utilisateur vers une fausse page de connexion, le système de sécurité matériel ne divulguera pas sesdent, protégeant ainsi son compte contre tout accès non autorisé.
Deuxièmement, plutôt que d'utiliser une clé API principale, les traders devraient créer des sous-comptes dédiés à leurs agents d'IA et n'y transférer que les fonds nécessaires. Même en cas de fuite, les utilisateurs peuvent ainsi en limiter efficacement l'impact.
L'ajout d'adresses IP à une liste blanche est déjà une étape obligatoire pour toute configuration automatisée qui garantit que la plateforme d'échange n'accepte que les commandes provenant d'une adresse serveur spécifique et approuvée.
Les utilisateurs d'agents d'IA doivent implémenter le fichier .agentignorefiles pour empêcher la lecture ou l'enregistrement de fichiers locaux sensibles lors de leurs tâches quotidiennes.
Le rapport souligne également l'importance de la supervision humaine pour les opérations à forte valeur ajoutée.
Même sans tricherie, laisser une IA fonctionner totalement « sans intervention » représente un risque financier.
L' expérience de Nov1.ai fin 2025 a montré que GPT-5 souffrait de « paralysie de l'analyse » et a perdu plus de 60 % de son capital en deux semaines, tandis que Gemini est devenu un « sur-trader » et a accumulé des frais massifs qui ont anéanti ses gains.
Il existe un juste milieu entre laisser son argent à la banque et miser sur les cryptomonnaies. Commencez par regarder cette vidéo gratuite sur la finance décentralisée.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustrondentdentdentdentdentdentdentdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)