Une nouvelle recherche de Token Security révèle que 65 % des chatbots agentiques n'ont jamais été utilisés depuis leur création, pourtant leurs identifiants d'accès aux systèmes externes demeurent actifs. L'étude a aussi trouvé que 51 % de ces agents s'appuient sur des identifiants codés en dur plutôt que sur des flux OAuth appropriés, et 81 % fonctionnent sur des frameworks auto-gérés dans des environnements cloud. Le PDG Itamar Apelblat décrit ceci comme créant des risques « similaires aux comptes de service orphelins, seulement plus difficiles à voir » parce que l'accès est caché derrière des interfaces conversationnelles.
Ceci reflète exactement les mêmes erreurs de sécurité qu'on a faites avec les comptes de service et les clés API il y a une décennie, sauf que maintenant les utilisateurs d'affaires créent ces systèmes basés sur des identifiants complètement en dehors de la gouvernance TI. Comme j'ai écrit en mars à propos des systèmes IA sur-privilégiés provoquant une hausse de 4,5x des incidents de sécurité, les organisations traitent les agents IA comme des « expériences rapides » plutôt que les identités gouvernées qu'ils sont réellement. La violation McKinsey mentionnée dans la couverture connexe montre ce qui arrive quand cette approche décontractée rencontre des attaquants déterminés — un agent IA autonome a exploité des vulnérabilités API basiques pour voler 57K comptes utilisateurs et 46M messages de chat en seulement deux heures.
Ce qui est particulièrement préoccupant, c'est comment ces agents dormants créent des surfaces d'attaque invisibles. Contrairement aux comptes de service traditionnels visibles dans les consoles cloud, les identifiants d'agents IA sont enfouis dans des configurations d'outils que les utilisateurs d'affaires déploient et oublient. Quand 65 % de ces systèmes ne sont jamais utilisés mais conservent l'accès de production indéfiniment, on maintient essentiellement une flotte de backdoors potentiels que personne ne surveille ou ne gouverne.
Les développeurs qui construisent des agents IA doivent implémenter une gestion appropriée du cycle de vie des identifiants dès le premier jour. Utilisez OAuth au lieu de clés codées en dur, intégrez l'expiration dans les accès accordés, et suivez l'utilisation réelle pour révoquer les permissions dormantes. La mentalité « bouger vite et casser des trucs » ne fonctionne pas quand votre chatbot a accès à la base de données.