fr.wedoany.com Rapport : Le framework d'agents de sécurité NanoClaw s'associe à JFrog, une plateforme de gestion de la chaîne d'approvisionnement logicielle, afin de permettre aux agents d'IA de récupérer des ressources depuis les registres audités de JFrog.

Gavriel Cohen, cofondateur de NanoCo AI, a annoncé ce partenariat lors d'un événement JFrog à San Francisco. Cohen a expliqué que l'une des principales caractéristiques de la gamme d'agents Claw est leur capacité à s'améliorer en acquérant les outils et ressources qui leur manquent.

Cohen a précisé que cette méthode fonctionne bien lorsque l'accès aux données locales connues nécessite un processus d'approbation manuel. Cependant, elle n'est pas idéale pour les paquets npm. Même pour des agents sandboxés et isolés comme NanoClaw, un code malveillant à l'intérieur du conteneur peut encore entreprendre des actions nuisibles.

Un développeur peut ne pas connaître un paquet et avoir besoin de temps pour évaluer pleinement sa légitimité et vérifier s'il a été falsifié. Pour résoudre ce problème, NanoClaw s'est intégré au registre JFrog. Lorsque l'agent télécharge de nouveaux outils et bibliothèques, les ressources proviennent de sources auditées, réduisant ainsi l'exposition de l'agent à des contenus non fiables.

Cohen a également annoncé la disponibilité de l'« usine d'agents ». Ce système, développé en interne par l'entreprise, utilise des agents NanoClaw pour traiter les pull requests. Avec l'essor des agents de codage IA, le nombre de pull requests a explosé, et l'usine d'agents vise à les trier. Cohen a souligné qu'il est difficile pour les mainteneurs de distinguer les contributions de haute qualité de celles qui utilisent des méthodes automatisées pour se bâtir une réputation.

L'usine d'agents est construite avec NanoClaw et hébergée sur exe.dev, qui fournit des machines virtuelles avec stockage persistant. Lorsqu'une pull request est ouverte, l'usine lance un agent de travail dédié, publie un fil de discussion sur Slack, et les collaborateurs classent les modifications, examinent les différences et proposent des plans de test. Toutes les actions nécessitent une approbation manuelle par clic avant d'être déclenchées.

Cohen estime que le traitement des pull requests contenant des injections de prompt ou du code non sécurisé comporte des risques. Toute personne utilisant et configurant des agents d'IA dans un environnement de développement peut voir, dans des fichiers de configuration comme Claude.md, des instructions interdisant l'exécution d'opérations dangereuses. Il a souligné que les instructions aident à guider l'agent vers des résultats utiles, mais ne constituent pas un mécanisme de sécurité. La seule façon d'empêcher un agent d'adopter un comportement indésirable est de lui interdire ce comportement, et non de simplement lui donner des instructions.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com