Kasra Faghihi vient de publier les résultats de son test de sécurité IA : 1 500 dollars dépensés pour faire hacker une application vulnérable par différents LLM. Les résultats révèlent l'ampleur du risque cybersécurité que représentent les agents IA autonomes.
Les chiffres
Le chercheur a construit une application web intentionnellement vulnérable et dépensé 1 500 dollars en crédits API pour tester les capacités de hacking de Claude, GPT-4, et autres LLM via agents autonomes.
**Résultats** : les LLM ont réussi à exploiter 78 % des vulnérabilités testées, incluant des injections SQL, des XSS, et des escalations de privilèges. Le coût moyen d'une vulnérabilité trouvée : 67 dollars en tokens.
Pour comparaison, un pentest humain coûte entre 5 000 et 25 000 dollars selon la complexité. Les agents IA réduisent ce coût de 98 % tout en maintenant un taux de succès comparable.
Le calcul
L'équation économique est brutale : avec 1 500 dollars de budget API, un agent IA peut scanner et exploiter autant de vulnérabilités qu'un expert sécurité facturé 20 000 dollars.
Si on extrapole à l'échelle, 100 000 dollars d'API peuvent remplacer 1,3 million de dollars d'audits de sécurité traditionnels. Pour les entreprises qui veulent tester régulièrement leurs systèmes, le ROI devient évident.
Mais l'autre face de la pièce : les mêmes agents sont accessibles aux attaquants. Pour 1 500 dollars, un hacker peut automatiser la découverte de failles sur des centaines de sites web. Le coût d'une cyber-attaque sophistiquée vient de chuter de 99 %.
Ce que ça révèle
Cette étude révèle la **démocratisation des capacités de hacking**. Les techniques avancées, autrefois réservées à des experts facturés 1 000 dollars par jour, deviennent accessibles pour 67 dollars via API.
Pour les entreprises, deux implications : d'un côté, la sécurité défensive devient plus abordable (audits IA automatisés). De l'autre, la surface d'attaque augmente exponentiellement (tout hacker avec une carte bancaire peut lancer des attaques sophistiquées).
Le marché de la cybersécurité se réorganise : les pure-players humains perdent leur avantage coût, tandis que les plateformes qui intègrent IA + expertise humaine captent la valeur.
À surveiller
- Réaction des cloud providers : Azure/AWS vont-ils limiter l'usage d'API pour des scénarios de pentest ?
- Nouvelles réglementations : les gouvernements vont-ils encadrer l'usage d'agents IA pour la cybersécurité ?
- Course aux armements : émergence d'agents IA défensifs pour contrer les agents offensifs
L'essentiel
Pour **67 dollars par vulnérabilité trouvée**, les agents IA democratisent le pentest mais aussi le hacking. Une révolution économique qui transforme la cybersécurité en course aux armements algorithmique.
Newsletter
Cet article t'a intéressé ? Reçois les suivants.
Chaque matin à 8h, les chiffres qui comptent. Gratuit, sans spam.
