Si tu traînes dans l’univers des agents IA, t’as déjà dû entendre des histoires à faire froid dans le dos. Un script qui pique tes clés API dans un fichier .env et enchaîne les appels à GPT-4 jusqu’à te ruiner. Un autre qui s’échappe de son bac à sable et flingue ta base de données. Bref, la foire. Cette semaine, deux projets open source débarquent pour jouer les héros : ReceiptBot et Moat. Le premier surveille tes agents Node.js pour éviter qu’ils ne lisent tes secrets et ne crament ton budget. Le second les fait tourner dans des conteneurs isolés. Sur le papier, c’est de la bonne idée. Dans la pratique, c’est surtout un constat accablant sur l’état de l’industrie.
Commençons par ReceiptBot. Le concept est simple : tu l’installes, et il empêche tes agents IA en Node.js de fouiller dans tes fichiers .env, de lire tes clés API, ou de faire n’importe quoi d’autre qui pourrait te coûter un bras. Le repo GitHub est propre, la doc est claire, et le code a l’air solide. Mais sérieusement, on en est là ? On a besoin d’un outil spécifique pour éviter que nos propres créations ne nous arnaquent ? C’est comme si tu devais installer un antivirus pour empêcher ton chien de manger tes chaussures. La faute à qui ? Aux développeurs qui balancent des agents en prod sans réfléchir, aux frameworks qui simplifient tellement l’usage qu’ils en oublient la sécurité, et à la hype qui pousse à déployer avant de tester. ReceiptBot, c’est un pansement sur une jambe de bois.
Passons à Moat. Là, on monte d’un cran : c’est une plateforme pour exécuter des agents IA dans des conteneurs isolés. Tu peux lancer tes scripts dans un environnement contrôlé, avec des limites de ressources, des permissions restreintes, et un monitoring serré. Le site de MajorContext (la boîte derrière) est sobre, l’approche est technique, et l’idée fait sens. Mais encore une fois, ça soulève une question : pourquoi est-ce que ça n’existait pas déjà ? Les conteneurs, c’est pas nouveau. La sandboxing, c’est pas nouveau. Pourtant, l’industrie a foncé tête baissée dans les agents sans se soucier des conséquences. Moat arrive avec son air sérieux pour dire « hé les gars, peut-être qu’on devrait pas laisser nos IA jouer avec le feu ». Ouais, merci captain obvious.
Le vrai problème, c’est que ces projets sont des réactions à un chaos qu’on aurait pu anticiper. OpenAI, Anthropic, Google – tous ces géants poussent leurs modèles comme des bonbons, avec des APIs qui permettent à n’importe qui de créer des agents en trois lignes de code. Mais côté sécurité ? Des guidelines vagues, des warnings en petits caractères, et une confiance aveugle dans la « responsabilité des développeurs ». Pendant ce temps, Sam Altman fait des keynotes sur les risques existentiels et Dario Amodei publie des essais de 20 000 mots sur l’alignement. C’est le grand écart permanent. Ils vendent des armes et s’étonnent que des gens se blessent.
Et puis, il y a l’aspect économique. ReceiptBot, c’est open source et gratuit. Moat, probablement freemium avec des plans pro. Dans un monde où les startups lèvent des millions pour des agents « révolutionnaires », personne n’a pensé à financer la sécurité de base ? C’est révélateur. La priorité, c’est la vitesse, les features, le market share. La robustesse, on verra plus tard. Sauf que « plus tard », c’est quand ton budget AWS explose ou que tes données fuient sur le dark web.
ReceiptBot et Moat sont absolument utiles. Si tu bosses avec des agents IA, il faut les utiliser. Mais il ne faut pas oublier que la meilleure sécurité, c’est encore de ne pas construire des trucs qui peuvent détruire.
Sources :
Comments are closed