Comment empêcher un agent IA interne de déraper quand il a déjà accès à tes systèmes ? Google DeepMind vient de publier sa réponse, l’AI Control Roadmap, détaillée dans son annonce du 18 juin 2026. L’idée de départ est inconfortable mais saine : partir du principe qu’un agent très capable peut ne pas être aligné avec tes objectifs, et le sécuriser quand même.
Signé par Rohin Shah et Four Flynn, l’annonce décrit une approche dite defense-in-depth qui va au-delà du simple alignement du modèle. DeepMind chiffre l’enjeu : selon une estimation McKinsey, les agents IA pourraient générer 2 900 milliards de dollars de valeur économique aux États-Unis d’ici 2030. Plus ces systèmes deviennent autonomes, plus il faut des garde-fous au niveau du système, pas seulement du modèle.
Traiter l’agent comme une menace interne
Le cœur de la méthode tient dans une analogie : l’agent non vérifié est traité comme un insider threat, l’équivalent d’un employé potentiellement malveillant qui a déjà les clés du bureau. Pour modéliser ces risques, DeepMind s’appuie sur MITRE ATT&CK, la base de connaissances standard de l’industrie qui répertorie les tactiques d’attaque observées dans le monde réel.
L’autre image utilisée par l’équipe est celle de l’auto-école à double commande : l’instructeur fait confiance à l’élève mais garde la main sur le frein. Concrètement, l’agent gagne des permissions au fur et à mesure que son comportement est vérifié. Tu construis la confiance par paliers, pas d’un bloc.
Détecter, bloquer, mesurer
Le dispositif repose sur des IA de confiance qui jouent le rôle de superviseurs. Elles relisent en continu le raisonnement, les actions et les plans de l’agent au travail. Si un superviseur repère une action dangereuse, il peut l’interrompre avant les dégâts. Pour les actions à faible risque et réversibles, DeepMind se contente d’une réponse asynchrone, une relecture différée. Pour les actions à haut risque, comme une cyberattaque majeure, la réponse devient synchrone : on bloque avant exécution.
La roadmap relie ces protections à des niveaux mesurables : D1 à D4 pour la détection, selon la capacité du modèle à échapper à la surveillance, et R1 à R3 pour la prévention et la réponse. Trois métriques pilotent le système : la couverture (part du trafic surveillé), le recall (part des comportements déviants attrapés) et le temps de réponse.
Côté terrain, l’équipe affirme avoir déjà analysé un million de trajectoires d’agents de code. Ces données ont servi à construire un moniteur en temps réel pour l’agent Gemini Spark, capable de réagir à des incidents comme une suppression de données involontaire. Point rassurant : selon DeepMind, la majorité des événements signalés ne viennent pas d’une intention malveillante, mais d’une mauvaise interprétation ou d’un excès de zèle de l’agent pour atteindre l’objectif de l’utilisateur.
Ce que ça change pour toi
Si tu déploies des agents en prod, le message est clair : l’alignement ne suffit pas, il faut une couche de sécurité système qui tient même quand l’alignement échoue. DeepMind présente sa feuille de route comme un modèle possible pour le reste de l’industrie, et appelle à un effort partagé entre entreprises, académiques et régulateurs.
Questions fréquentes
Qu’est-ce que l’AI Control Roadmap de DeepMind ?
C’est un cadre de sécurité defense-in-depth pour gérer les agents IA déployés en interne chez Google. Il ajoute une couche de sécurité au niveau du système, qui reste valable même si l’alignement du modèle est imparfait.
Pourquoi traiter un agent IA comme un employé malveillant ?
Parce qu’un agent capable a déjà accès aux systèmes. En le considérant comme un insider threat via le cadre MITRE ATT&CK, DeepMind peut traquer méthodiquement les risques et tester ses défenses par des exercices.
Quelle différence entre réponse asynchrone et synchrone ?
L’asynchrone relit les actions en différé et corrige après coup, ce qui suffit pour les actions réversibles à faible risque. La synchrone bloque l’action avant son exécution, et reste réservée aux actions à haut risque comme une cyberattaque.
