Anthropic a publié la carte système Claude Sonnet 4.6 le 17 février 2026. Enfoui dans les évaluations de sécurité se trouve un chiffre qui devrait changer la façon dont chaque équipe d'ingénierie envisage le déploiement de l'IA agentique.
Avec toutes les mesures de protection activées, y compris la réflexion approfondie, les attaques contradictoires automatisées réussissent toujours à réussir une prise de contrôle par injection rapide dans 8 % des cas dès la première tentative dans les environnements d'utilisation informatique. Passez à des tentatives illimitées et le taux de réussite grimpe à 50 %.
Voici ce qui rend ce chiffre véritablement intéressant, et pas seulement alarmant. Dans des environnements de codage avec le même modèle et la même réflexion étendue, le taux de réussite des attaques tombe à 0,0 %.
Zéro. Le modèle n'est pas devenu plus intelligent entre ces deux évaluations. L'environnement a changé.
Les environnements de codage ont des entrées structurées : code, sortie du terminal, réponses API avec des schémas définis. Les environnements d'utilisation informatique rencontrent du contenu arbitraire non fiable : pages Web, e-mails, invitations d'agenda, documents avec texte masqué, éléments DOM avec instructions intégrées.
La différence n'est pas le modèle. C'est la surface d'attaque.
Un commentateur dans un fil de discussion Hacker News sur la carte système l'a dit sans détour : "Cela semble tout à fait inacceptable. Cette technologie n'est tout simplement pas une solution, sauf si je me trompe."
Il ne s'agit pas d'un malentendu. Il cherche la solution au mauvais endroit.
Lorsque j'ai construit la propre infrastructure d'agents de Zenith, j'ai commis la même erreur. J'ai supposé que les améliorations du modèle combleraient l'écart. Ils ne le feront pas. Pas complètement.
La solution n'est pas un meilleur modèle. C'est une meilleure architecture autour du modèle.
Cet article explique pourquoi l'injection rapide est un problème d'architecture, définit précisément où se concentre le risque et présente un cadre de défense à cinq niveaux pour les équipes d'agents d'expédition en production.
Tous les déploiements d'agents ne comportent pas le même risque. Comprendre exactement où se concentre le risque détermine où vous investirez vos efforts d’ingénierie.
Simon Willison a inventé le terme « trio mortel » pour décrire la combinaison de capacités qui rend un agent extrêmement vulnérable à une injection rapide. Un agent entre dans la zone dangereuse lorsque trois conditions se produisent simultanément.
L'agent a accès aux outils. L'agent peut entreprendre des actions : envoyer des e-mails, exécuter du code, cliquer sur des boutons, appeler des API, transférer de l'argent.
Un modèle qui génère uniquement du texte dans une fenêtre de discussion ne peut pas causer de dommages réels via une injection rapide. Dès que le modèle acquiert la capacité d’agir sur les systèmes, les enjeux changent catégoriquement.
L'agent traite les entrées non fiables. L'agent lit le contenu qu'il n'a pas généré : pages Web, e-mails entrants, documents téléchargés par des tiers, réponses API de services externes, invitations de calendrier d'expéditeurs inconnus.
Tout contenu ingéré par l'agent et sur lequel un attaquant aurait pu influencer est considéré comme une entrée non fiable.
L'agent a accès à des données ou fonctionnalités sensibles. L'agent peut accéder aux informations d'identification, aux informations personnelles, aux systèmes financiers, aux API internes, aux documents privés ou à tout autre élément susceptible de causer des dommages en cas d'exfiltration ou d'utilis...
[Courte citation de 8% de l'article original]