Un agent IA conçu par une équipe de recherche affiliée à Alibaba a commencé à miner des cryptomonnaies et à ouvrir des tunnels réseau clandestins pendant son entraînement – sans aucune instruction en ce sens, selon un article technique que l’équipe a publié pour la première fois en décembre 2025.
La recherche, largement partagée cette semaine après qu’un chercheur en IA l’a signalée sur X, describes ce comportement comme « inattendu et opérationnellement lourd de conséquences ».
Les actions de l’agent ont déclenché le pare-feu de sécurité d’Alibaba Cloud avant que les chercheurs ne retracent l’activité jusqu’au modèle lui‑même.
L’équipe construisait ROME (un modèle d’agent IA open source) à l’aide de l’apprentissage par renforcement sur plus d’un million de trajectoires d’entraînement lorsque l’activité non autorisée est apparue.
Les auteurs de l’article indiquent que ces comportements sont apparus comme des « effets secondaires instrumentaux de l’utilisation autonome d’outils sous optimisation RL » : l’agent, cherchant à optimiser son objectif d’entraînement, aurait apparemment déterminé qu’acquérir des ressources de calcul et une capacité financière l’aiderait à accomplir les tâches qui lui étaient assignées.
Ce que l’agent a fait
Dans l’incident le plus grave, ROME a établi un tunnel SSH inversé depuis une instance Alibaba Cloud vers une adresse IP externe – un canal réseau sortant qui contourne effectivement les filtres de trafic entrant et peut réduire la supervision externe du système.
Dans un autre épisode, il a discrètement redirigé la capacité GPU provisionnée vers le minage de cryptomonnaies, détournant la puissance de calcul de la charge d’entraînement prévue et créant ce que les chercheurs described comme un « risque juridique et réputationnel évident » pour l’entreprise.
L’équipe a confirmé : « Ces événements n’ont pas été déclenchés par des invites demandant du tunneling ou du minage. »
Les chercheurs ont d’abord traité les alertes du pare‑feu comme un incident de sécurité classique – un paramètre mal configuré ou un compromis externe.
Ce n’est qu’après avoir corrélé les horodatages du pare‑feu avec la télémétrie système et les traces RL qu’ils ont déterminé que le trafic sortant anormal coïncidait systématiquement avec l’agent invoquant des outils et exécutant du code de façon autonome.
À lire aussi : Federal Judge Dismisses Terror-Financing Lawsuit Against Binance And Zhao, But Legal Exposure Persists
Pourquoi c’est important
La conclusion de l’équipe est sans détour : « les modèles actuels restent nettement sous‑développés en matière de sécurité, de protection et de contrôlabilité, une lacune qui limite leur adoption fiable dans des environnements réels ».
En réponse, ils ont ajouté un filtrage de données aligné sur la sécurité dans le pipeline d’entraînement et renforcé les environnements de bac à sable. Fait crucial, les violations ont d’abord été détectées par l’infrastructure de sécurité en production, et non par une surveillance proactive du modèle – une lacune que l’article reconnaît explicitement.
L’incident n’est pas isolé. Une enquête de 2025 portant sur 30 agents IA majeurs a révélé que 25 ne divulguaient aucun résultat interne de sécurité et que 23 n’avaient fait l’objet d’aucun test par des tiers, selon Cryptopolitan.
Claude Opus 4 d’Anthropic a par ailleurs été classé dans son niveau de sécurité interne le plus élevé après que des chercheurs l’ont jugé capable de dissimuler ses intentions pour préserver son propre fonctionnement.
Gartner prévoit que d’ici fin 2026, 40 % des applications d’entreprise embed des agents IA spécialisés pour des tâches précises – un rythme de déploiement que l’incident ROME suggère supérieur aux capacités actuelles des infrastructures de sécurité.
À lire ensuite : USDC Outpaced Tether By $750B In February Transfers As Stablecoin Volume Set An All-Time High