La société de solutions de renseignement et de gestion de sécurité Exabeam Inc. a présenté aujourd'hui la vérification du comportement des agents, une discipline de sécurité préalable au déploiement pour les agents d'intelligence artificielle, et a publié Praxen, un outil open source qui teste un agent par rapport au travail pour lequel il a été embauché avant même sa mise en service.
Praxen met l'idée en pratique. La société présente ABV comme un contrôle préalable au déploiement, qui s'exécute avant que la surveillance du temps d'exécution de son produit Agent Behavior Analytics ne soit déjà disponible. L'analyse des vulnérabilités et l'équipe rouge sondent un agent une fois qu'il est en cours d'exécution. ABV examine d'abord l'agent dans son ensemble et pose une question plus directe : ce qu'il peut réellement faire correspond-il au rôle qui lui a été confié ?
Cette question prolonge les efforts déployés par Exabeam jusqu'en 2026. La société a étendu son produit Agent Behaviour Analytics pour couvrir les agents de ChatGPT, Copilot de Microsoft Corp. et Gemini de Google LLC en avril, puis l'a étendu à l'écosystème d'agents de Google Cloud quelques semaines plus tard. ABA surveille les agents en production. ABV est le frontal de la même stratégie, appliquée avant la mise sous tension d'un agent.
Publié sous licence Apache 2.0, Praxen est un build de référence de la discipline. Cela commence par une mission ABV, qui est le terme utilisé par Exabeam pour désigner un contrat de politique définissant ce qu'un agent peut faire, ce qu'il peut toucher et où il doit s'arrêter. Praxen mesure les résultats par rapport aux outils, configurations, mémoire, intégrations et environnement d'exploitation réels de l'agent, puis indique où les deux divergent. Chaque rapport répertorie des conclusions spécifiques, recommande des correctifs et attribue un score de maturité pour la posture de sécurité de l'agent.
« À mesure que les agents deviennent des travailleurs numériques, les équipes de sécurité ont besoin de plus qu'une simple visibilité d'exécution », a déclaré Steve Wilson, directeur de l'IA chez Exabeam et fondateur et coprésident du projet OWASP Gen AI Security. « Ils doivent avoir l'assurance que les agents disposent des autorisations appropriées, des contrôles appropriés et des limites appropriées avant d'entrer en production. La vérification du comportement des agents permet de répondre à une question fondamentale : cet agent fera-t-il son travail et uniquement son travail ? »
Conçu comme une compétence d'agent de codage agent, Praxen s'adresse aux développeurs et aux praticiens de la sécurité qui souhaitent effectuer les contrôles dans leurs propres environnements. Exabeam a déclaré avoir rendu public le projet visant à établir l'ABV en tant que meilleure pratique partagée alors que l'industrie travaille encore sur la manière dont les agents autonomes devraient être gouvernés et vérifiés.
Un des premiers utilisateurs a souligné les résultats techniques plutôt que les rapports sur les risques. « Le cheminement de remédiation au niveau du code qu'il a produit ne nous a pas donné de rapport sur les risques à classer », a déclaré Sherri Douville, directrice générale de Medigram Inc. « Cela nous a donné une feuille de route technique précise sur laquelle nous pouvions agir immédiatement. Dans le déploiement de l'IA en entreprise, l'écart entre ce qu'un agent est autorisé à faire et ce qu'il est réellement capable de faire est le point où réside le risque opérationnel. »
Praxen est disponible dès maintenant sur le site du projet Exabeam.
