« Analyse CertiK effectuée » : le sésame de la sécurité dans la vague des compétences IA
TechFlow SélectionTechFlow Sélection
« Analyse CertiK effectuée » : le sésame de la sécurité dans la vague des compétences IA
Déclencher l’adoption institutionnelle grâce à Skill, CertiK établit une couche d’accès sécurisée pour l’ère de l’IA.
Dédié à des analyses Web3 approfondiesAuteur : TechFlow
Introduction
Selon le site officiel de ClawHub, environ 67 300 « Skills » sont actuellement disponibles sur la plateforme pour que les utilisateurs puissent les sélectionner et les installer. Au début de l’année, ce chiffre était inférieur à 10 000.
L’explosion du nombre de Skills a entraîné une amélioration continue des capacités et des autorisations des Agents IA : lecture de fichiers, appel de commandes Shell, déclenchement d’opérations sur des actifs… Lorsqu’un utilisateur accorde une autorisation à un Skill, son Agent IA obtient en effet une clé permettant de prendre le contrôle de son univers numérique.
Toutefois, cette abondance d’offres s’accompagne d’un élargissement continu des zones d’ombre en matière de sécurité : selon une étude menée par Snyk portant sur près de 4 000 Skills, 13,4 % présentent des problèmes critiques de sécurité, 36,8 % comportent des failles de sécurité, et 76 ont été confirmés comme contenant des charges malveillantes.
Face à ces risques bien réels, on retrouve fréquemment, dans la documentation officielle de nombreuses plates-formes de Skills, la phrase suivante :
« Les Skills tiers n’ont pas été vérifiés ; leur utilisation se fait sous la seule responsabilité de l’utilisateur. »
Cette formulation peut être perçue comme une mesure désespérée visant à se prémunir contre les risques, mais elle ne constitue certainement pas une solution fondamentale au problème.
Avant que les IA ne commencent à exécuter des tâches à la place des humains, nous avons besoin d’une « couche normalisée d’accès sécurisé » dédiée aux Skills :
- Permettre à la plateforme de savoir quels Skills peuvent être mis en ligne ;
- Aider les entreprises à déterminer quels Skills peuvent être intégrés dans leur environnement interne ;
- Informer les utilisateurs de façon claire quant à la fiabilité d’un Skill avant son téléchargement et l’octroi de ses autorisations.
En mai 2026, avec le lancement par CertiK de CertiK Skill Scanner — un outil de balayage de sécurité dédié à l’écosystème des Agents IA —, nous observons des progrès concrets vers la résolution de ce problème critique.
À quoi ressemble un « logiciel antivirus » pour les Skills à l’ère de l’IA ?
Comparé à la définition officielle donnée par CertiK de CertiK Skill Scanner — « une couche normalisée d’accès sécurisé conçue spécifiquement pour les applications Skills à l’ère de l’IA » — la communauté propose une formulation plus concise et intuitive : « un antivirus pour Skills IA ».
Cela est facile à comprendre : avant utilisation, un mécanisme de jugement sécurisé analyse le Skill afin d’identifier les risques potentiels et d’en informer l’utilisateur.
Les logiciels antivirus traditionnels détectent les programmes exécutés sur les ordinateurs, tandis que CertiK Skill Scanner analyse les Skills invoqués par les Agents IA.
Le marché ne manque pas d’outils de balayage classiques, mais chacun présente des limites : les antivirus Web2 ne protègent pas contre les pirates informatiques opérant sur la blockchain, tandis que les cabinets d’audit Web3 traditionnels se concentrent sur l’analyse statique du code, sans approfondir suffisamment les flux dynamiques d’appel IA.
La différence fondamentale de CertiK Skill Scanner réside dans sa couverture exhaustive du processus d’exécution :
Il offre une protection complète, couvrant aussi bien les environnements Web2 que Web3, contre cinq catégories majeures de risques : comportements malveillants, fuites de données, appels réseau non autorisés, accès à des commandes Shell et détournement du système de fichiers — notamment les risques liés aux opérations financières impliquant des transferts de fonds.
Non seulement il couvre l’intégralité du processus d’exécution, mais sa précision atteint également 90,5 %. Dans les scénarios d’exécution financière impliquant des transferts de fonds, cette performance élevée constitue pour les utilisateurs — en particulier les clients institutionnels — la condition essentielle permettant d’intégrer CertiK Skill Scanner comme « couche normalisée d’accès sécurisé pour les Skills IA » au sein de leurs processus de sécurité.
Cette capacité de défense dynamique dans les scénarios exigeant un niveau de sécurité financier a permis à CertiK Skill Scanner de séduire rapidement les plates-formes de Skills dont les exigences en matière de sécurité sont extrêmement strictes dès sa sortie.
Actuellement, Pieverse — une infrastructure Web3 dédiée aux Agents IA — a déjà finalisé son intégration, intégrant CertiK Skill Scanner à sa boutique de Skills pour Agents IA. Des compétences centrales telles que « BNB Chain MCP » bénéficient désormais de ce mécanisme normalisé d’examen de sécurité, qui permet d’identifier préalablement tout risque potentiel avant même que l’utilisateur ou l’Agent ne procède à l’appel effectif.
À propos de cette collaboration, Colin, PDG de Pieverse, a déclaré :
« Seule la confiance des utilisateurs et des développeurs dans les Skills exécutés par les Agents permettra à cet écosystème de connaître une croissance à grande échelle. Chez Pieverse, notre objectif est de construire une infrastructure permettant aux Agents d’effectuer des transactions et des opérations en toute sécurité. L’intégration de CertiK Skill Scanner apporte une couche de validation cruciale pour renforcer la sécurité et la fiabilité des Skills destinés aux Agents. »
Parallèlement, des discussions avancées sont en cours avec d’autres plates-formes de Skills IA, notamment FinChip.ai. Gary Yang, investisseur chez FinChip.ai, a indiqué :
« Pour qu’une “économie des Skills” puisse fonctionner à grande échelle, la confiance constitue le prérequis fondamental. Le mécanisme de vérification de la sécurité des Skills développé par CertiK représente précisément l’infrastructure essentielle qui fait encore défaut à cet écosystème, rendant ainsi plus concrète la vision de FinChip concernant la propriété programmable des Skills et leur distribution. »
Alors que les partenariats avec les plates-formes progressent sur plusieurs fronts, l’interface destinée aux utilisateurs individuels reste en cours de développement rapide.
Cela signale clairement une orientation stratégique :
Pour le moment, CertiK Skill Scanner privilégie prioritairement les scénarios institutionnels et les plates-formes.
Quelle est donc la stratégie cachée derrière ce choix ?
Utilisateurs institutionnels : une mutation stratégique soigneusement préparée
Pourquoi concentrer ses efforts sur les institutions ?
La réponse est évidente :
Dans le cycle actuel, où les institutions constituent le récit dominant, s’adresser à elles revient à ancrer un levier capable de faire basculer l’ensemble du marché.
D’un côté, avec l’essor de la finance décentralisée (DeFi), des acteurs traditionnels tels que les gestionnaires d’actifs, les banques et les sociétés de custody entrent massivement dans l’univers Web3. Ils nécessitent des outils répondant à des exigences institutionnelles en matière de sécurité, de conformité, de transparence et de traçabilité des risques — domaines dans lesquels CertiK excelle.
Par ailleurs, grâce à l’influence considérable des institutions, toucher ce segment constitue une voie efficace « d’un point à une multitude » :
Une banque cliente établit, pour l’ensemble de ses propres clients, une référence commune en matière de sécurité ; convaincre une société de gestion d’actifs d’adopter un standard de sécurité équivaut à faire rayonner ce standard au sein de tous les actifs et clients qu’elle gère.
Il s’agit d’une stratégie hautement efficace, et de nombreux projets considèrent aujourd’hui les partenariats institutionnels comme un indicateur clé de leur potentiel de croissance futur.
Pourquoi CertiK a-t-il choisi CertiK Skill Scanner comme produit phare marquant sa « transformation stratégique vers les utilisateurs institutionnels » ?
Là encore, l’une des raisons principales réside dans l’urgence créée par une demande soudaine :
De nombreuses institutions ont déjà intégré l’IA à leurs processus opérationnels, et davantage encore sont en train de le faire. Selon une étude publiée par IDC, d’ici 2027, l’utilisation des Agents IA devrait augmenter de dix fois au sein des 2 000 plus grandes entreprises mondiales (Global 2000), tandis que le volume d’appels API et de jetons associés aux Agents devrait exploser, multiplié par mille.
Cependant, lorsqu’il s’agit d’appeler des Skills, les institutions redoutent surtout les problèmes de sécurité — notamment en matière de transactions financières, de fuites de données ou de risques réglementaires. Un seul « Skill toxique » peut engendrer des pertes colossales, une perte de confiance irrémédiable, etc.
Par conséquent, un filtrage sécurisé des Skills est devenu une nécessité absolue pour les institutions — exactement le domaine central d’intervention de CertiK Skill Scanner, notamment grâce à sa protection spécialisée contre les risques liés aux exécutions financières, parfaitement alignée avec les besoins de sécurité institutionnels.
Bien entendu, « identifier une opportunité » et « être en mesure de la saisir » sont deux choses différentes.
En matière de services aux institutions, CertiK n’est pas un « nouveau venu ».
Depuis longtemps, le site officiel de CertiK mentionne explicitement parmi ses publics cibles les projets Web3, les institutions et entreprises, les bourses et sociétés de custody, ainsi que les autorités de régulation et les départements chargés de la conformité.
En passant en revue les services offerts par CertiK aux institutions, on constate qu’il a su développer une approche combinée couvrant trois dimensions clés : technique, réglementaire et IA.
Au niveau technique, ses offres incluent l’audit de code, les tests d’intrusion et la preuve de réserves, répondant ainsi aux besoins fondamentaux en matière de sécurité sous-jacente et de transparence des actifs.
Au niveau réglementaire, ses solutions VARA et ses conseils en conformité DORA et MiCA accompagnent les institutions dans l’établissement de parcours robustes de conformité adaptés aux différentes juridictions.
Au niveau IA, outre CertiK Skill Scanner, CertiK a lancé en avril dernier AI Auditor, un outil pouvant être directement intégré aux flux de développement, assurant une détection de vulnérabilités à haute précision et faible taux de faux positifs. Lors de tests réels d’incidents de sécurité, sa précision atteint 88,6 %. AI Auditor et CertiK Skill Scanner forment ainsi les deux piliers de la gamme de produits de sécurité IA de CertiK.
Cette approche intégrée a déjà permis à CertiK d’attirer des partenaires prestigieux tels qu’Ant Group, Binance, ainsi que de nombreuses banques, fonds d’investissement, sociétés de custody et entités spécialisées dans la technologie réglementaire (RegTech).
À mesure que toujours plus d’institutions manifestent un intérêt pour l’intégration de la blockchain, CertiK a plusieurs fois déclaré publiquement que sa clientèle se déplace rapidement des projets Web3 vers les institutions financières traditionnelles et les entités réglementaires et de conformité.
Certes, les résultats obtenus auprès des institutions suscitent de la curiosité, mais ce qui intrigue davantage, c’est pourquoi celles-ci font confiance à CertiK.
En tant que leader du secteur de la sécurité, CertiK possède des capacités et un héritage solides que ses concurrents auront bien du mal à rattraper à court terme.
Plus de 5 167 clients servis, plus de 180 000 vulnérabilités détectées dans le code, plus de 60 milliards de dollars d’actifs numériques protégés.
Cette série impressionnante de chiffres affichée sur le site officiel de CertiK illustre dix années d’expertise approfondie dans le domaine de la sécurité, et a fait de la mention « Audited by CertiK » un gage de confiance essentiel pour de nombreux projets Web3.
Derrière cette réputation, se trouve un ADN technologique de premier plan.
Les deux fondateurs de CertiK — le professeur adjoint en informatique à l’Université Columbia, Ronghui Gu, et le professeur et chef du département d’informatique à l’Université Yale, Zhong Shao — sont tous deux issus des sommets de la recherche académique mondiale.
Ils ont conduit leur équipe à introduire dans le domaine de la sécurité Web3 la méthodologie la plus rigoureuse de vérification formelle issue de la recherche académique, forgeant ainsi l’avantage technologique central de CertiK. Leur expertise a été reconnue à cinq reprises par Apple, suite à la découverte de vulnérabilités critiques dans iOS, iPadOS, macOS et watchOS — une preuve éloquente que leurs capacités de sécurité ne se limitent pas au cadre Web3.
Par ailleurs, la conformité constitue la porte d’entrée de la confiance institutionnelle — et sur ce terrain également, les réalisations de CertiK sont remarquables.
À ce jour, CertiK a réussi avec succès l’audit SOC 2 Type II et obtenu la certification ISO 27001, deux références essentielles pour les institutions financières traditionnelles lorsqu’elles choisissent un prestataire de services de sécurité.
En outre, CertiK collabore activement avec les principales autorités de régulation mondiales, notamment le Congrès américain, l’Autorité monétaire de Singapour (MAS), le gouvernement de la Région administrative spéciale de Hong Kong, le gouvernement sud-coréen, le marché mondial d’Abu Dhabi (ADGM) et l’Agence japonaise des services financiers (FSA). Son co-fondateur Ronghui Gu a même été le seul représentant du secteur Web3 à rejoindre le groupe consultatif de la MAS, participant activement à l’élaboration et à la mise en œuvre des politiques réglementaires mondiales.
Cela permet à CertiK non seulement d’assurer la sécurité côté technique, mais aussi de comprendre, dans le cadre réglementaire et de conformité, les véritables besoins des institutions.
Lorsqu’on passe en revue de bout en bout les aspects techniques, réglementaires et expérientiels, on réalise qu’il est impossible d’appréhender CertiK uniquement à travers un produit isolé. Ce que CertiK vise n’est ni un espace Web3 restreint, ni une simple « couche normalisée de sécurité pour les Skills IA », mais depuis ses débuts, son objectif n’a jamais changé :
Devenir l’infrastructure de sécurité de l’ère de l’économie numérique
CertiK Skill Scanner est le billet d’entrée de CertiK pour transformer dix années d’expertise en sécurité en une norme industrielle de l’ère IA ;
et les institutions constituent la première pierre fondatrice de ce pari stratégique.
Depuis le point de départ : observer l’évolution continue de CertiK
Bien entendu, devenir l’infrastructure de sécurité de l’ère de l’économie numérique ne peut pas se faire du jour au lendemain.
À ce stade, la feuille de route devient un indicateur clé pour suivre la mise en œuvre concrète de la stratégie du projet.
Pour CertiK Skill Scanner, récemment lancé, les prochaines étapes sont clairement identifiées :
D’un côté, étendre les collaborations à l’échelle de l’écosystème, en faisant en sorte que la norme de sécurité définie par CertiK Skill Scanner soit adoptée par un nombre croissant de plates-formes de Skills, afin de faire de la « note de sécurité CertiK » un signal obligatoire pour toute mise en ligne de Skill.
De l’autre côté, compléter l’offre destinée aux utilisateurs individuels, une étape cruciale pour faire passer CertiK Skill Scanner d’un « outil institutionnel » à une « couche de sécurité universelle ».
Nous notons également qu’avant le lancement de CertiK Skill Scanner, CertiK avait publié un article intitulé :
« Skill Scanning Is Not a Security Boundary » (« Le balayage des Skills ne constitue pas une frontière de sécurité »).
Dans cet article, l’accent était mis sur le fait qu’un simple balayage statique ne suffit pas à constituer une frontière de sécurité complète à l’ère des Agents IA.
Cette position est devenue par la suite l’un des principaux atouts différenciants de CertiK Skill Scanner.
Mais l’article soulignait aussi que :
la vocation de CertiK Skill Scanner, telle que définie par CertiK, est d’agir comme la première barrière de sécurité au sein de l’écosystème de sécurité IA, destinée à permettre une identification initiale des risques et une évaluation de sécurité fondamentale avant qu’un Skill tiers ne soit véritablement utilisé par une plateforme, une entreprise ou un utilisateur.
À l’avenir, à mesure que les Agents IA pénétreront des scénarios d’exécution réels de plus en plus complexes, les produits de sécurité IA de CertiK disposeront d’un large champ d’extension autour de la détection des risques, des systèmes de notation et des capacités de génération de rapports.
Cela révèle presque ouvertement l’ensemble de la stratégie de CertiK en matière de sécurité des Agents IA :
au-delà du balayage et de l’accès sécurisé, couvrir davantage de cas d’usage IA ;
au-delà d’AI Auditor et de CertiK Skill Scanner, développer davantage de fonctionnalités ou produits IA ;
au-delà d’un simple outil ponctuel, construire progressivement une pile de sécurité complète dédiée à l’ère des Agents IA.
Actuellement, CertiK Skill Scanner n’est que le point de départ de cette feuille de route.
Conclusion
De ce qui a été accompli par le passé à ce qui sera réalisé à l’avenir, c’est une histoire complète sur « qui garantira la sécurité à l’ère de l’économie numérique ».
Pendant dix ans, CertiK a démontré sa capacité à assurer la sécurité du code, des contrats intelligents et des actifs sur la blockchain.
Aujourd’hui, les Agents IA commencent à exécuter des tâches à la place des humains, et de nouvelles frontières de sécurité émergent. CertiK étend justement cette capacité :
de la protection des actifs sur la blockchain, à la protection des appels IA ;
de l’adoption par les institutions, à la constitution d’un socle de sécurité pour le fonctionnement même de l’économie numérique.
Il s’agit d’une entreprise déjà installée à la tête de son secteur, qui, après dix années d’accumulation, parie sur la prochaine décennie en vue de définir la norme industrielle de la sécurité.
Même si, au seuil de cette nouvelle décennie, nous ne percevons pour l’instant que les grandes lignes stratégiques ainsi que les premières formes de produits et d’écosystèmes,
cela ne nous empêche pas d’espérer un futur de l’économie numérique dans lequel la responsabilité des risques ne serait plus laissée à l’initiative individuelle, mais solidement encadrée par des mécanismes institutionnels.
« Audited by CertiK » a permis à d’innombrables projets Web3 de gagner la confiance de leurs utilisateurs ;
« Scanned by CertiK » deviendra-t-il le laissez-passer incontournable de l’ère IA ?
CertiK cherche à fournir une réponse concrète à cette question, via une itération continue de ses produits et une adoption progressive par les institutions.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
