SlowMist alerte : les agents de trading IA piratables via des attaques par injection de prompts pour siphonner des fonds
- Pourquoi les agents de trading IA sont-ils vulnérables ?
- Quels sont les risques concrets ?
- Comment sécuriser vos agents IA ?
- Quelles sont les tendances récentes ?
- FAQ
les agents IA utilisés pour le trading peuvent être facilement compromis par des attaques sophistiquées, notamment via l'injection de prompts. Une récente étude de SlowMist révèle que ces vulnérabilités permettent aux hackers de contourner les sécurités et de voler des fonds. Découvrez comment protéger vos actifs dans cet article.
Pourquoi les agents de trading IA sont-ils vulnérables ?
Les agents IA, bien qu'utiles, présentent des failles critiques. Selon SlowMist, près de 10 % des plugins disponibles sur des plateformes comme ClawHub contiennent des malwares en deux étapes. Une fois installés, ces plugins téléchargent des logiciels malveillants capables de voler des données sensibles, comme les cookies de navigateur ou les clés SSH. Ces attaques peuvent passer inaperçues pendant des semaines, surtout si l'agent fonctionne 24/7.
Quels sont les risques concrets ?
En décembre 2025, Polymarket a confirmé une faille chez Magic Labs, son fournisseur d'authentification, entraînant le vol de plus de 500 000 $ malgré une 2FA activée. Plus récemment, un token solana AI Lobstar a été distribué à tort pour 441 000 $ après une manipulation sur les réseaux sociaux. Ces incidents montrent que les pirates exploitent désormais les IA plutôt que les utilisateurs directement.
Comment sécuriser vos agents IA ?
L'équipe sécurité de Bitget recommande un système en cinq étapes :
- Utiliser des Passkeys (FIDO2/WebAuthn) : Ces clés cryptographiques rendent le phishing inefficace.
- Créer des sous-comptes dédiés : Limitez les fonds accessibles à chaque agent.
- Restreindre les permissions : Un agent analysant des graphiques ne doit pas pouvoir exécuter de transactions.
- Whitelist d'adresses IP : Autorisez uniquement les connexions depuis des serveurs approuvés.
- Supervision humaine : Même les IA les plus avancées peuvent dysfonctionner, comme GPT-5 qui a perdu 60 % de son capital fin 2025.
Quelles sont les tendances récentes ?
Oasis Security a identifié en 2026 une faille critique nommée(CVSS 8.0+), permettant à des sites malveillants de prendre le contrôle d'un agent IA via un simple navigateur. SlowMist souligne aussi l'efficacité des attaques indirectes par injection de prompts, notamment sur des écosystèmes comme Bitget Agent Hub ou OpenClaw.
FAQ
Les hackers peuvent-ils voler via un agent IA ?
Oui, en exploitant des vulnérabilités comme l'injection de prompts ou des plugins corrompus.
Comment vérifier la sécurité d'un plugin IA ?
Analysez son code source et privilégiez les outils vérifiés par des plateformes réputées comme SlowMist.
Les exchanges comme BTCC sont-ils concernés ?
Tout exchange utilisant des agents IA doit appliquer des protocoles stricts, notamment des sous-comptes et une whitelist IP.
