Des routeurs d’agents IA malveillants peuvent voler des cryptomonnaies, préviennent des chercheurs
Par Emmanuel Roux
Dernière mise à jour
5 mins de lecture
Des chercheurs de l’Université de Californie ont identifié une classe d’attaque jusqu’alors non documentée ciblant la couche d’infrastructure des agents IA, révélant que des routeurs API LLM tiers malveillants peuvent intercepter les communications des agents, injecter du code dans les appels d’outils et vider des portefeuilles crypto – incluant, dans au moins un cas documenté, l’exécution d’un transfert réel d’ETH hors du portefeuille actif d’un chercheur.
Les conclusions, publiées dans un article arXiv d’avril 2026 et décrites par l’équipe comme la première analyse systématique des attaques d’intermédiaires malveillants sur la chaîne d’approvisionnement des LLM, font passer ce qui était auparavant une préoccupation théorique au stade de menace démontrée et mesurable.
Ce qui rend cette découverte structurellement significative est la surface d’attaque qu’elle expose – non pas les smart contrats, ni les failles de gestion de clés privées au sens conventionnel, mais la couche de routage qui se situe entre un agent IA et le modèle de langage sous-jacent qu’il interroge.
Alors que les agents IA autonomes sont de plus en plus intégrés aux portefeuilles crypto, aux protocoles DeFi et aux flux de trading automatisés, cette couche intermédiaire est devenue une infrastructure porteuse, et elle fonctionne actuellement sans normalisation de sécurité significative.
Un routeur API d’IA, dans un usage standard, fonctionne comme une couche middleware – il reçoit les requêtes d’un agent ou d’une application d’IA, les transmet à un ou plusieurs fournisseurs de LLM, et renvoie les réponses.
Les développeurs et les équipes utilisent fréquemment des routeurs tiers pour gérer les clés API, équilibrer la charge entre les fournisseurs ou réduire les coûts en accédant à des points de terminaison de modèles moins chers. Le routeur se trouve, par conception, dans une position de visibilité totale sur chaque instruction (prompt), appel d’outil et réponse qui transite par lui.
Un routeur malveillant exploite précisément cette position. Plutôt que de transmettre de manière transparente le trafic de l’agent, il peut inspecter, modifier ou répondre aux appels d’outils crypto – les commandes structurées qu’un agent IA émet pour interagir avec des systèmes externes, y compris des portefeuilles.
Source : Arxiv
Dans le cadre défini par les chercheurs de l’UC, cela permet au moins trois types d’attaques actives : l’injection de code malveillant dans le pipeline d’exécution des outils de l’agent IA, la collecte d’identifiants API et de clés privées transmises ou référencées dans les sessions d’agent, et le déploiement d’une logique d’évasion adaptative qui retarde le comportement malveillant – attendant, dans certains cas documentés, 50 cycles d’appels ou plus avant de s’activer – pour tromper les surveillances rudimentaires.
Les chercheurs ont également identifié un quatrième vecteur qu’ils décrivent comme particulièrement dangereux dans les contextes agentiques : l’exploitation du « mode YOLO », la capacité d’exécution autonome présente dans plusieurs frameworks d’agents majeurs, où l’agent agit sur les réponses des appels d’outils sans confirmation humaine.
Un routeur capable de s’injecter dans cette boucle peut, en principe, autoriser des transactions que l’utilisateur n’a jamais explicitement approuvées. Cette capacité n’est pas théorique – l’équipe a confirmé qu’un routeur parmi ceux testés a activement vidé l’ETH du portefeuille d’un chercheur.
L’équipe de recherche a testé 428 routeurs au total : 28 provenant d’annonces payantes sur les boutiques Taobao, Xianyu et Shopify, et 400 obtenus gratuitement via des canaux communautaires publics. Parmi ceux-ci, 9 routeurs – 1 payant, 8 gratuits – ont été confirmés comme injectant activement du code malveillant dans les appels d’outils.
Parallèlement, 17 ont accédé à des identifiants AWS « canary » que l’équipe avait intégrés comme pièges de détection, et 2 ont déployé des techniques d’évasion adaptatives spécifiquement conçues pour déjouer la surveillance comportementale. Plus de 20 % de l’échantillon complet présentait un comportement malveillant ou des indicateurs de risque matériel, selon la propre classification des chercheurs.
Les données d’exposition des identifiants issues des expériences d’empoisonnement de l’équipe constituent, si elles sont exactes, la conclusion la plus lourde de conséquences du document. Une clé OpenAI fuitée placée sur des forums chinois, WeChat et Telegram a été utilisée pour traiter 100 millions de tokens GPT-5.4 et plus de 7 sessions Codex autonomes avant détection. Un identifiant leurre plus faible a déclenché 2,1 milliards de tokens facturables à travers 440 sessions Codex et 401 sessions autonomes en mode YOLO, exposant 99 identifiants au total.
26 LLM routers are secretly injecting malicious tool calls and stealing creds. One drained our client $500k wallet.
We also managed to poison routers to forward traffic to us. Within several hours, we can directly take over ~400 hosts.
Check our paper: https://t.co/zyWz25CDpl pic.twitter.com/PlhmOYz2ec
— Chaofan Shou (@Fried_rice) April 10, 2026
Le fondateur de Solayer, Fried_rice, a caractérisé les conclusions sur les réseaux sociaux le 10 avril 2026 comme la preuve de « vulnérabilités de sécurité systémiques » dans les routeurs API tiers – une description qui s’aligne sur le cadrage du modèle de menace de l’article.
Il est nécessaire de signaler directement le statut épistémique de ces affirmations : au moment de la rédaction, l’article n’a pas fait l’objet d’un examen formel par les pairs dans une instance académique. Il s’agit d’une prépublication arXiv, et les chiffres spécifiques – décomptes de tokens, classifications des comportements de routeurs, relevés d’exposition d’identifiants – n’ont pas été vérifiés de manière indépendante par un tiers.
Nous soupçonnons que les conclusions fondamentales sont globalement fiables, compte tenu de la rigueur apparente de la méthodologie et des détails corroborants sur plusieurs types d’attaques rapportés, mais toute extrapolation au-delà de l’échantillon des 428 routeurs doit être traitée avec une prudence proportionnée.
EXPLORER : Meilleures meme coins à surveiller – Classements mis à jour de CoinSpeaker
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.