Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Quand les agents IA sont livrés non sécurisés par défaut : la leçon PraisonAI que chaque RSSI doit connaître

Quand les agents IA sont livrés non sécurisés par défaut : la leçon PraisonAI que chaque RSSI doit connaître

par Patrick Spencer updated mai 28, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Le 11 mai 2026 à 13h56 UTC, GitHub a publié l’avis GHSA-6rmh-7xcm-cpxj pour CVE-2026-44338, une faille de contournement de l’authentification dans PraisonAI. À 17h40 UTC — soit trois heures, 44 minutes et 39 secondes plus tard — un scanner se présentant comme « CVE-Detector/1.0 » a commencé à sonder précisément l’endpoint vulnérable sur des instances exposées à Internet. L’équipe Threat Research de Sysdig a documenté le timing en détail : environ 70 requêtes en 50 secondes, deux passages espacés de huit minutes, le second ciblant spécifiquement les surfaces des agents IA.

La vulnérabilité elle-même est simple. PraisonAI — un framework open source d’orchestration multi-agents avec environ 7 100 étoiles sur GitHub — a livré les versions 2.5.6 à 4.6.33 avec un serveur API Flask hérité dont l’authentification était désactivée par défaut. Le helper check_auth() retournait True dès lors que l’authentification était désactivée. Les deux routes protégées — GET /agents et POST /chat — étaient conçues pour échouer en mode ouvert. Tout appelant accédant à l’API pouvait lire le fichier de définition des agents, récupérer la liste des agents configurés et déclencher le workflow agents.yaml. Le message soumis était ignoré. Le workflow s’exécutait simplement.

5 enseignements clés

1. Trois heures et 44 minutes entre l’avis et la première tentative d’exploitation.

Des scanners Internet ont ciblé l’endpoint vulnérable de PraisonAI moins de 4 heures après la divulgation publique. Le délai entre la divulgation et l’exploitation s’est effondré. Les recherches plus larges de Sysdig confirment qu’il ne s’agit pas d’un cas isolé — le temps entre l’avis et l’exploitation diminue pour toutes les catégories de CVE. L’idée reçue selon laquelle les défenseurs disposent de plusieurs jours pour corriger les failles critiques n’est plus valable. Les plans de réponse aux incidents fondés sur la vitesse de correction sont déjà dépassés.

2. L’authentification était désactivée par défaut dans du code destiné à la production.

Le serveur API Flask hérité codait en dur AUTH_ENABLED = False et AUTH_TOKEN = None. Tout appelant accédant à l’API pouvait lancer des workflows d’agents sans jeton. Le contournement ne laissait aucun signal d’authentification manquante dans les logs applicatifs — le serveur était conçu pour échouer en mode ouvert. Il s’agit d’un CWE-306 au niveau du framework. Le prochain framework embarquera un autre anti-pattern. C’est le schéma qui pose problème, pas le CVE en lui-même.

3. Le rayon d’action dépend de ce que l’agent peut atteindre.

Si un agent a accès à des données réglementées, l’absence d’authentification sur son serveur API ouvre un accès direct à ces données. Les agents PraisonAI pouvaient lire les fichiers de configuration, récupérer la liste des agents et déclencher les workflows configurés — sans contrôle d’autorisation à aucune étape. Le score CVSS sous-estime le risque opérationnel car la limite d’impact dépend de l’autorisation de l’agent, pas des autorisations de l’application. Seuls les contrôles au niveau des données subsistent quand la couche agent échoue.

4. Les contrôles de confinement sont la couche manquante.

63 % des organisations ne peuvent pas limiter l’usage des agents IA à une finalité précise, 60 % ne peuvent pas arrêter rapidement un agent défaillant et 55 % ne peuvent pas isoler l’IA de l’accès au réseau étendu, selon les Prévisions Kiteworks 2026. PraisonAI a mis en lumière ces failles en temps réel. Les organisations ont investi dans la surveillance des actions de l’IA. Elles n’ont pas investi dans la capacité à l’arrêter. L’écart entre gouvernance et confinement est de 15 à 20 points — et PraisonAI illustre ce qui comble cet écart sous la pression des attaquants.

5. La gouvernance au niveau des données est indépendante du framework.

Le prochain framework IA embarquera un nouvel anti-pattern. La réponse architecturale, c’est la gouvernance au niveau des données — authentifiée, régie par des règles, avec journalisation infalsifiable — indépendante du framework agent, du modèle et du prompt. Quand l’agent accède à des données réglementées, la couche données pose les questions que le serveur API de l’agent n’a pas posées. Ce contrôle résiste au prochain CVE.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Pourquoi « insecure by default » est la vraie classe de vulnérabilité

Le CVE en question est un CWE-306 — Authentification manquante pour une fonction critique — avec un score CVSS de 7,3. Grave, mais pas unique. Ce qui rend PraisonAI digne d’intérêt, c’est la logique sous-jacente : le framework était distribué avec un serveur API de niveau développement lié à l’hôte 0.0.0.0 par défaut, un YAML de déploiement exemple héritant de cette configuration, et aucune alerte pour l’opérateur.

Vineeta Sangaraju, ingénieure de recherche IA chez Black Duck, l’a résumé dans son commentaire SecurityWeek : « Les outils assistés par l’IA permettent aux attaquants de passer de la publication d’un avis à un exploit fonctionnel dans des délais qui n’existaient pas auparavant. » Il s’agit d’un changement structurel du modèle de menace — pas d’un incident ponctuel. Le CrowdStrike Global Threat Report 2026 a constaté une hausse de 89 % des activités adverses dopées à l’IA d’une année sur l’autre, avec 82 % de détections sans malware. Une infrastructure agent qui échoue en mode ouvert correspond exactement à ce type d’« outil légitime » — pas de charge utile à détecter, juste une requête vers un endpoint de workflow qui s’exécute.

Le modèle de menace des agents IA que la plupart des organisations n’ont pas encore construit

Un agent autonome n’est pas qu’un code. Il s’agit d’un code doté d’une autorisation d’agir — lire des fichiers, appeler des API, invoquer des modèles, déplacer des données. Quand le serveur API qui contrôle l’agent échoue en mode ouvert, tous les systèmes en aval accessibles par l’agent deviennent subitement accessibles à n’importe qui sur Internet.

Sysdig a relevé dans son analyse temporelle de l’exploitation que « la surveillance réseau détecte clairement ce type de trafic car le contournement ne laisse aucun signal d’authentification manquante dans les logs applicatifs. » Les règles SIEM au niveau applicatif produisent un faux négatif car la logique applicative n’est pas la source de vérité pour savoir si l’accès était autorisé. La détection doit se faire au niveau réseau — où l’user-agent CVE-Detector/1.0 et le schéma de requête GET /agents sont visibles — et au niveau des données, où une identité d’agent inattendue accédant à du contenu réglementé serait signalée.

L’écart de confinement que la plupart des organisations n’ont pas comblé

Le rapport Prévisions Kiteworks 2026 révèle que 63 % des organisations ne peuvent pas limiter l’usage des agents IA à une finalité, 60 % ne peuvent pas arrêter rapidement un agent défaillant et 55 % ne peuvent pas isoler les systèmes basés sur l’IA de l’accès réseau étendu. Ce sont les contrôles de confinement — la capacité à stopper l’IA en cas de problème — et ils accusent un retard de 15 à 20 points par rapport aux contrôles de surveillance. La plupart des organisations peuvent observer un agent qui agit de façon inattendue. Elles ne peuvent pas l’empêcher de dépasser son périmètre autorisé, l’arrêter rapidement ou l’isoler des systèmes sensibles.

PraisonAI illustre ce qui se passe quand ces failles rencontrent une exploitation réelle. L’agent exécute tout ce que l’opérateur a configuré dans agents.yaml — et si ce workflow accède à des données sensibles, le serveur API non authentifié devient un endpoint public pour ces données. Ajoutez la fenêtre d’exploitation de 3h44 et l’équation devient claire : la limitation de finalité, les coupe-circuits et l’isolation réseau ne sont pas des options à planifier, mais des prérequis avant tout déploiement.

La réponse architecturale : la gouvernance au niveau des données

La leçon de PraisonAI n’est pas que les frameworks d’agents IA doivent avoir de meilleurs paramètres par défaut — même si c’est nécessaire. La vraie leçon, c’est que les défenses centrées sur la couche agent ou application continueront d’échouer, car le prochain framework embarquera un autre anti-pattern et le temps de réaction des attaquants continuera de diminuer. La réponse architecturale, c’est la gouvernance au niveau des données.

Quand un agent — compromis, mal configuré ou sur-autorisés — accède à des données réglementées, la couche données doit l’authentifier, évaluer les règles et journaliser l’opération. Le serveur MCP sécurisé Kiteworks et l’AI Data Gateway appliquent ce schéma : chaque requête d’agent authentifiée via OAuth 2.0, chaque opération évaluée en temps réel selon les règles ABAC et RBAC, chaque interaction générant une entrée de journal d’audit infalsifiable. Le chiffrement validé FIPS 140-3 protège les données en transit et au repos. L’agent hérite des autorisations de l’utilisateur autorisé et ne peut pas les dépasser.

Quand un attaquant atteint un endpoint de type PraisonAI et déclenche un workflow qui tente de lire des fichiers sensibles, la couche données pose les questions suivantes : cet agent est-il authentifié ? Cet utilisateur est-il autorisé à accéder à ces données ? Cette opération respecte-t-elle les règles ? Ce schéma d’accès est-il anormal ? Si la réponse à l’une de ces questions est non, le workflow échoue. Le CVE devient un événement circonscrit, pas une fuite de données. Le Réseau de données privé Kiteworks étend cette architecture à la messagerie électronique, au partage de fichiers, au MFT, au SFTP, aux formulaires web et aux API — un moteur de règles, un journal d’audit, une gouvernance indépendante du framework.

Ce que les RSSI et les équipes sécurité doivent faire dès maintenant

Premièrement, recensez toute l’infrastructure agent IA exposée. Identifiez chaque framework agent — LangChain, AutoGen, CrewAI, PraisonAI, développements internes — documentez où chacun est déployé, à quelles données il accède et si sa surface API est exposée au-delà de loopback. Vous avez probablement plus de frameworks que vous ne le pensez.

Deuxièmement, considérez tout service IA accessible depuis le réseau comme un actif de production. Les services IA nécessitent authentification, segmentation réseau et surveillance selon les standards de production. 55 % des organisations ne peuvent pas isoler l’IA de l’accès réseau étendu — c’est le signe que ce n’est pas généralisé.

Troisièmement, auditez les paramètres par défaut, pas seulement les configurations. La vulnérabilité de PraisonAI venait du paramètre par défaut. Lisez les valeurs par défaut de chaque outil IA de votre stack. Vérifiez ce que fait le framework si l’opérateur ne modifie rien.

Quatrièmement, comblez l’écart de confinement. 63 % manquent de limitation de finalité et 60 % n’ont pas de coupe-circuit. Des pipelines existent pour les deux — mettez-les en production avant que le prochain CVE framework ne teste vos failles.

Cinquièmement, déplacez la détection vers la couche données. La journalisation applicative a manqué les sondes PraisonAI. Construisez la télémétrie là où sont les contrôles — au niveau des données, où l’accès non autorisé d’un agent à du contenu réglementé est détectable, quel que soit le mode d’authentification de l’agent au niveau du framework.

Sixièmement, préparez-vous à la fenêtre de correction de quatre heures. Développez la capacité opérationnelle à détecter et réagir en quelques heures après un avis de vulnérabilité critique concernant votre stack. L’hypothèse d’un cycle de patch traditionnel n’est plus sûre.

Pour en savoir plus sur la gouvernance des données IA et la protection des données sensibles de votre organisation, réservez votre démo sans attendre !

Foire aux questions

Oui. « Usage interne » signifie souvent « accessible depuis tout poste utilisateur compromis » — ce qui revient à une exposition Internet dès qu’un attaquant obtient un accès. 55 % des organisations ne peuvent pas isoler l’IA de l’accès réseau étendu selon les Prévisions Kiteworks 2026. Un usage interne ne remplace pas l’authentification, la segmentation réseau et les contrôles d’accès au niveau des données.

Le contournement ne laisse aucun signal d’authentification manquante dans les logs applicatifs, car le serveur est conçu pour échouer en mode ouvert quand AUTH_ENABLED est False. La détection doit passer par la couche réseau (pour le schéma de sondes) et la couche données (pour l’accès non autorisé d’un agent). 61 % des organisations ont des journaux d’audit fragmentés selon les Prévisions Kiteworks 2026 — ce qui empêche la corrélation inter-couches nécessaire pour repérer ce type d’événement.

Un agent avec un accès non authentifié à des données réglementées crée une faille documentée vis-à-vis des exigences SOX Section 404 et GLBA Safeguards Rule. Les deux cadres exigent des contrôles d’accès et des journaux d’audit démontrables. 33 % des organisations n’ont pas de journaux d’audit exploitables selon les Prévisions Kiteworks 2026 — sans accès agent authentifié et journalisé, votre auditeur considérera l’infrastructure agent comme une défaillance de contrôle non documentée.

Oui, sans attendre, et auditez la facturation de votre fournisseur de modèles à partir du 11 mai 2026. Les environnements de développement contiennent souvent des copies de vraies données, partagent des segments réseau avec la production ou réutilisent des identifiants. 63 % des organisations ne peuvent pas limiter l’usage des agents IA à une finalité — considérer les environnements de développement comme hors périmètre pour la gouvernance des agents IA, c’est précisément ce qui fait perdurer la faille jusqu’en production.

Le modèle de menace ne va pas se stabiliser — de nouveaux frameworks continueront d’introduire de nouveaux anti-patterns et la fenêtre entre divulgation et exploitation va continuer de se réduire. 100 % des organisations ont l’IA dans leur feuille de route selon les Prévisions Kiteworks 2026 ; repousser le déploiement, c’est prendre du retard à la fois sur la maturité IA et sur la maturité de la gouvernance IA nécessaire pour opérer en toute sécurité. Déployez sur une couche données gouvernée qui limite le rayon d’action de chaque CVE framework.

Ressources complémentaires

  • Article de blog
    Stratégies Zero Trust pour une protection abordable de la confidentialité de l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    AI Governance Gap : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks