L'IA agentique entre en production dans les pipelines CI/CD, les copilotes internes, les workflows de support client et l'automatisation de l'infrastructure. Ces systèmes ne se contentent plus d'appeler un modèle. Ils planifient, décident, délèguent et agissent au nom des utilisateurs et d'autres systèmes. Cela crée de nouvelles surfaces d'attaque qui ne correspondent pas clairement à la sécurité des applications traditionnelles ni même au Top 10 OWASP 2025. Pour y remédier, l'OWASP a publié le Top 10 OWASP pour les applications agentiques (2026), une liste ciblée des risques les plus impactants dans les systèmes autonomes, utilisant des outils et multi-agents.
Pour les équipes qui utilisent déjà le Top 10 OWASP 2025 comme guide pour la sécurité web et la sécurité de la chaîne d’approvisionnement logicielle, le Top 10 Agentique étend la même approche aux agents IA, aux outils, à l'orchestration et à l'autonomie.
Pourquoi un Top 10 OWASP distinct pour les systèmes agentiques
Le Top 10 OWASP original se concentre sur des risques tels que les échecs de contrôle d'accès, les injections et les mauvaises configurations. La mise à jour de 2025 a étendu son champ d'application aux risques modernes liés à la chaîne d'approvisionnement, tels que les dépendances malveillantes et les pipelines de build compromis.
Les applications agentiques introduisent des propriétés supplémentaires qui modifient fondamentalement la propagation des risques :
- Les agents opèrent de manière autonome à travers de nombreuses étapes et systèmes
- Le langage naturel devient une surface d'entrée qui peut véhiculer des instructions exploitables.
- Les outils, les plugins et les autres agents sont composés dynamiquement en temps d'exécution.
- L'état et la mémoire sont réutilisés à travers les sessions, les rôles et les tenants
En réponse, l'OWASP introduit le concept de moindre autonomie (least agency) dans sa liste de 2026. Le principe est simple. N'accordez aux agents que l'autonomie minimale requise pour effectuer des tâches sûres et circonscrites.
Le Top 10 OWASP pour les applications agentiques (2026)
Vous trouverez ci-dessous un résumé pratique de chaque catégorie, basé sur le document OWASP, rédigé pour les développeurs et les équipes de sécurité.
ASI01 – Détournement d'objectif d'agent
Le détournement d'objectif d'agent se produit lorsqu'un attaquant modifie les objectifs ou le chemin de décision d'un agent via un contenu textuel malveillant. Les agents ne peuvent souvent pas séparer de manière fiable les instructions des données. Ils peuvent entreprendre des actions non intentionnelles lors du traitement d'e-mails, de PDF, d'invitations à des réunions, de documents RAG ou de contenu web empoisonnés.
Les exemples incluent l'injection de prompt indirecte qui provoque l'exfiltration de données internes, des documents malveillants récupérés par un agent de planification, ou des invitations de calendrier qui influencent la planification ou la priorisation.
L'atténuation se concentre sur le traitement des entrées en langage naturel comme non fiables, l'application d'un filtrage des injections de prompt, la limitation des privilèges des outils et l'exigence d'une approbation humaine pour les changements d'objectif ou les actions à fort impact.
ASI02 – Utilisation abusive et exploitation d'outils
L'abus d'outils se produit lorsqu'un agent utilise des outils légitimes de manière non sécurisée. Des prompts ambigus, un désalignement ou une entrée manipulée peuvent amener les agents à appeler des outils avec des paramètres destructeurs ou à enchaîner des outils dans des séquences inattendues, entraînant une perte ou une exfiltration de données.
Les exemples incluent des outils sur-privilégiés capables d'écrire dans des systèmes de production, des descripteurs d'outils empoisonnés dans des serveurs MCP, ou des outils shell qui exécutent des commandes non validées.
La recherche PromptPwnd d'Aikido est un exemple concret de ce schéma. Du contenu non fiable d'issues GitHub ou de pull requests a été injecté dans des prompts de certaines actions GitHub et workflows GitLab. Associé à des outils et des tokens puissants, cela a entraîné l'exposition de secrets ou des modifications de dépôts.
L'atténuation comprend une portée stricte des permissions d'outils, une exécution en sandbox, la validation des arguments et l'ajout de contrôles de politique à chaque invocation d'outil.
ASI03 – Abus d'identité et de privilèges
Les agents héritent souvent d'identités utilisateur ou système, ce qui peut inclure des identifiants à privilèges élevés, des tokens de session et un accès délégué. L'abus d'identité et de privilèges se produit lorsque ces privilèges sont réutilisés, escaladés ou transmis involontairement entre agents.
Les exemples incluent la mise en cache de clés SSH dans la mémoire de l'agent, la délégation inter-agents sans portée définie, ou les scénarios de « confused deputy ».
L'atténuation comprend des identifiants à courte durée de vie, des permissions limitées à la tâche, une autorisation appliquée par politique sur chaque action, et des identités isolées pour les agents.
ASI04 – Vulnérabilités de la chaîne d'approvisionnement agentique
Les chaînes d'approvisionnement agentiques incluent des outils, des plugins, des templates de prompt, des fichiers de modèle, des serveurs MCP externes, et même d'autres agents. Beaucoup de ces composants sont récupérés dynamiquement en temps d'exécution. Tout composant compromis peut altérer le comportement de l'agent ou exposer des données.
Les exemples incluent des serveurs MCP malveillants usurpant l'identité d'outils fiables, des templates de prompt empoisonnés, ou des agents tiers vulnérables utilisés dans des workflows orchestrés.
L'atténuation comprend des manifestes signés, des registres curatés, le pinning de dépendances, le sandboxing et des kill switches pour les composants compromis.
ASI05 – Exécution de code inattendue
L'exécution de code inattendue se produit lorsque les agents génèrent ou exécutent du code ou des commandes de manière non sécurisée. Cela inclut les commandes shell, les scripts, les migrations, l'évaluation de modèles ou la désérialisation déclenchée par une sortie générée.
Les exemples incluent des assistants de code exécutant directement des correctifs générés, l'injection de prompt qui déclenche des commandes shell, ou une désérialisation non sécurisée dans les systèmes de mémoire d'agent.
L'atténuation implique de traiter le code généré comme non fiable, de supprimer l'évaluation directe, d'utiliser des sandboxes renforcées et d'exiger des aperçus ou des étapes de révision avant l'exécution.
ASI06 – Empoisonnement de la mémoire et du contexte
Les agents s'appuient sur des systèmes de mémoire, des embeddings, des bases de données RAG et des résumés. Les attaquants peuvent empoisonner cette mémoire pour influencer les décisions ou le comportement futurs.
Les exemples incluent l'empoisonnement RAG, la fuite de contexte inter-tenant, et la dérive à long terme causée par une exposition répétée à du contenu adversarial.
L'atténuation comprend la segmentation de la mémoire, le filtrage avant l'ingestion, le suivi de la provenance et l'expiration des entrées suspectes.
ASI07 – Communication inter-agents non sécurisée
Les systèmes multi-agents échangent souvent des messages via des canaux MCP, A2A, des points d'extrémité RPC ou de la mémoire partagée. Si la communication n'est pas authentifiée, chiffrée ou validée sémantiquement, les attaquants peuvent intercepter ou injecter des instructions.
Les exemples incluent des identités d'agent usurpées, des messages de délégation rejoués, ou l'altération de messages sur des canaux non protégés.
L'atténuation comprend le TLS mutuel, les charges utiles signées, les protections anti-rejeu et les mécanismes de découverte authentifiés.
ASI08 – Défaillances en cascade
Une petite erreur dans un agent peut se propager à travers la planification, l'exécution, la mémoire et les systèmes en aval. La nature interconnectée des agents signifie que les défaillances peuvent s'aggraver rapidement.
Les exemples incluent un planificateur hallucinant émettant des tâches destructrices à plusieurs agents ou un état empoisonné se propageant via des agents de déploiement et de politique.
L'atténuation comprend des limites d'isolation, des limites de débit (rate limits), des disjoncteurs (circuit breakers) et des tests pré-déploiement des plans multi-étapes.
ASI09 – Exploitation de la confiance agent-humain
Les utilisateurs font souvent trop confiance aux recommandations ou explications des agents. Les attaquants ou les agents mal alignés peuvent exploiter cette confiance pour influencer des décisions ou extraire des informations sensibles.
Parmi les exemples, on trouve des assistants de codage introduisant des backdoors subtiles, des copilotes financiers approuvant des transferts frauduleux, ou des agents de support persuadant les utilisateurs de révéler leurs identifiants.
L'atténuation implique des confirmations forcées pour les actions sensibles, des journaux immuables, des indicateurs de risque clairs et l'évitement d'un langage persuasif dans les workflows critiques.
ASI10 – Agents malveillants
Les agents malveillants sont des agents compromis ou mal alignés qui agissent de manière nuisible tout en paraissant légitimes. Ils peuvent répéter des actions de manière autonome, persister à travers les sessions ou usurper l'identité d'autres agents.
Parmi les exemples, on trouve des agents qui continuent d'exfiltrer des données après une seule injection de prompt, des agents d'approbation qui valident silencieusement des actions dangereuses, ou des optimiseurs de coûts qui suppriment des sauvegardes.
L'atténuation comprend une gouvernance stricte, le sandboxing, la surveillance comportementale et des kill switches.
La perspective d'Aikido sur le risque agentique
L'OWASP Agentic Top 10 est basé sur des incidents observés dans des systèmes réels. Le suivi OWASP inclut des cas confirmés d'exfiltration de données médiatisée par agent, de RCE, d'empoisonnement de la mémoire et de compromission de la chaîne d'approvisionnement.
L'équipe de recherche d'Aikido a observé l'émergence de schémas similaires dans les enquêtes CI/CD et de chaîne d'approvisionnement. Notamment :
- La classe de vulnérabilité PromptPwnd , découverte par Aikido Security, a démontré comment le contenu non fiable des issues, pull requests et commits GitHub peut être injecté dans les prompts au sein des workflows GitHub Actions et GitLab. Combiné à des outils sur-privilégiés, cela a créé des chemins d'exploitation pratiques.
- Les outils et actions CLI améliorés par l'IA ont montré comment des entrées de prompt non fiables pouvaient influencer les commandes exécutées avec des jetons sensibles.
- Des erreurs de configuration dans les workflows open source ont révélé que les développeurs accordent souvent aux automatisations basées sur l'IA plus d'accès que prévu, incluant parfois des tokens de dépôt avec des capacités d'écriture.
Ces découvertes recoupent les ASI01, ASI02, ASI03, ASI04 et ASI05. Elles soulignent que les risques agentiques dans le CI/CD et l'automatisation sont déjà concrets. Aikido continue de publier des recherches à mesure que ces schémas évoluent.
Comment Aikido aide à sécuriser l'environnement périphérique
La plateforme d'Aikido se concentre sur le renforcement de l'environnement périphérique afin que toute adoption d'outils agentiques se fasse sur une base plus sécurisée.
Ce qu'Aikido fait aujourd'hui
- Identifie les configurations de workflow GitHub et GitLab non sécurisées ou trop permissives, telles que les déclencheurs dangereux ou les tokens avec des capacités d'écriture. Ces problèmes augmentent le rayon d'impact des attaques de type PromptPwnd.
- Détecte les tokens divulgués, les secrets exposés et les privilèges excessifs dans les dépôts.
- Signale les risques de chaîne d'approvisionnement dans les dépendances, y compris les paquets vulnérables ou compromis utilisés par les outils ou le code de support.
- Met en évidence les erreurs de configuration dans l'infrastructure as code qui pourraient amplifier l'impact d'une compromission d'agent.
- Fournit un feedback en temps réel dans l'IDE pour aider à prévenir les erreurs de configuration courantes pendant le développement.
L'objectif d'Aikido est d'améliorer la posture de sécurité des systèmes dans lesquels les agents opèrent, et non de revendiquer une couverture complète des vulnérabilités agentiques.
Scannez votre environnement avec Aikido
Si votre équipe d'ingénierie explore les workflows agentiques ou utilise déjà l'IA pour le triage, l'automatisation ou les suggestions de code, renforcer l'environnement environnant est une première étape importante.
Aikido peut aider à identifier les mauvaises configurations, les permissions excessives et les faiblesses de la chaîne d'approvisionnement qui affectent directement la sécurité de ces workflows.
Commencez gratuitement avec l'analyse en lecture seule, ou planifiez une démo pour découvrir comment Aikido peut aider à réduire les risques sous-jacents qui façonnent votre environnement agentique.
Sécurisez votre logiciel dès maintenant.
