ERC-8126 : une nouvelle norme Ethereum pour délivrer des « rapports d’audit de sécurité » aux agents IA
TechFlow SélectionTechFlow Sélection
ERC-8126 : une nouvelle norme Ethereum pour délivrer des « rapports d’audit de sécurité » aux agents IA
ERC-8126 rend la vérification programmable. Plutôt que de dépendre d’une autorité centralisée ou d’un unique prestataire de services de vérification, cette norme ouverte favorise l’émergence d’un écosystème de services de vérification.
Dédié à des analyses Web3 approfondiesAuteur : DonJohnson, co-auteur de l’ERC-8126
Traduction : TechFlow
Introduction de TechFlow : Les agents IA gèrent déjà des portefeuilles, effectuent des transactions et déploient du code, mais les utilisateurs ne disposent d’aucune méthode normalisée pour vérifier la sécurité d’un agent. L’ERC-8126 vise précisément à combler ce vide. Basé sur l’enregistrement d’identité défini par l’ERC-8004, il établit un cadre de vérification en cinq couches (jetons, contenus multimédias, code, points de terminaison web et portefeuilles), protège la confidentialité grâce à des preuves à divulgation nulle et produit en fin de compte un score de risque unifié allant de 0 à 100. DonJohnson, co-auteur de cette norme, fait partie de l’écosystème Virtuals Protocol.
Présentation de l’ERC-8126 : la couche de vérification des agents IA.
Spécification officielle : https://eips.ethereum.org/EIPS/eip-8126
Les auteurs sont Leigh Cronian et Chris Johnson ; Cybercentry et Virtuals Protocol ont participé conjointement à sa rédaction.
Les agents IA deviennent rapidement des acteurs de l’économie numérique. Ils déploient du code, exécutent des transactions, gèrent des portefeuilles, interagissent avec les utilisateurs et collaborent de plus en plus fréquemment avec d’autres agents. Toutefois, un problème persiste : si nous disposons de systèmes éprouvés pour vérifier l’identité des personnes, des entreprises, des sites web et des logiciels, aucune infrastructure universelle n’existe encore pour valider la fiabilité des agents IA.
L’ERC-8126 s’appuie sur le mécanisme d’enregistrement d’agents défini par l’ERC-8004 afin d’introduire un cadre standardisé de vérification. Un agent IA peut ainsi prouver sa fiabilité auprès de prestataires de services de vérification indépendants, tout en préservant sa confidentialité grâce à des preuves à divulgation nulle.
Problématique : pourquoi faire confiance à un agent ?
Les moyens dont disposent les utilisateurs pour juger de la fiabilité d’un agent IA restent extrêmement limités. Certaines questions apparemment simples n’ont souvent pas de réponse claire :
- Cet agent fonctionne-t-il sur une infrastructure sécurisée ?
- Son code a-t-il été audité ?
- Contrôle-t-il effectivement le portefeuille qu’il prétend contrôler ?
- Les jetons auxquels il est associé sont-ils légitimes ?
- Le contenu qu’il publie est-il authentique ?
- A-t-il été compromis ?
Les solutions existantes sont fragmentées, non standardisées et reposent majoritairement sur la réputation. Or, lorsque les agents commencent à gérer des fonds de plus grande ampleur, à exécuter de façon autonome un nombre croissant de transactions et à s’intégrer à des systèmes critiques, la réputation seule ne suffit plus. L’ensemble de l’écosystème a besoin d’un cadre commun de vérification.
Qu’est-ce que l’ERC-8126 ?
L’ERC-8126 définit une interface standardisée de vérification pour les agents IA enregistrés conformément à l’ERC-8004. Il ne désigne pas une autorité centrale unique, mais permet au contraire l’émergence d’un marché composé de prestataires spécialisés en services de vérification. Chaque prestataire peut appliquer ses propres méthodes d’évaluation, mais les attestations qu’il délivre sont interopérables : applications, marchés, portefeuilles et autres écosystèmes d’agents peuvent directement exploiter ces résultats. Ce cadre aboutit ainsi à une couche de vérification portable pour les agents IA.
Les prestataires de services de vérification extraient directement les métadonnées de l’agent depuis le registre d’identité ERC-8004, puis procèdent à une série de vérifications spécialisées. Les résultats peuvent être transformés en attestations protégeant la vie privée, puis publiés dans le registre de vérification ERC-8004, générant ainsi des signaux découvrables et vérifiables à l’échelle de l’écosystème.
Les cinq couches de vérification
Vérification des jetons Ethereum (ETV)
Lorsque les métadonnées d’un agent incluent une adresse de contrat, l’ETV vérifie la légitimité et la sécurité de ce contrat intelligent. Le prestataire utilise la méthode eth_getCode pour confirmer que le contrat est bien déployé sur la chaîne concernée et que le bytecode renvoyé n’est pas vide, puis compare ce bytecode à des motifs connus de vulnérabilités. Un agent peut être lié à des jetons, à des contrats, à des mécanismes de staking ou à d’autres systèmes sur chaîne ; si le contrat n’existe pas, est falsifié ou présente des vulnérabilités évidentes, les utilisateurs et autres agents doivent en être informés avant toute interaction. L’ETV contribue ainsi à confirmer l’existence d’une empreinte blockchain légitime pour l’agent, permettant aux utilisateurs de comprendre la base économique qui le soutient.
Vérification des contenus multimédias (MCV)
La MCV atteste de l’authenticité, de l’origine et de l’intégrité des contenus multimédias associés à un agent. À mesure que les agents gagnent en visibilité publique, les supports multimédias deviennent une composante essentielle de leur identité : avatar, contenus générés, éléments de marque et publications publiques influencent directement la confiance des utilisateurs. La MCV examine notamment les traces de manipulation, les contenus synthétiques, les deepfakes, les métadonnées intégrées, les filigranes numériques, les charges utiles stéganographiques et les signatures numériques. Elle peut également s’appuyer sur des cadres éprouvés tels que C2PA (Coalition for Content Provenance and Authenticity). À mesure que les contenus générés par IA deviennent de plus en plus réalistes, la vérification de leur authenticité prend une importance accrue.
Vérification du code Solidity (SCV)
Lorsque les métadonnées analysées contiennent du code Solidity, la SCV en vérifie la légitimité et la sécurité. Le prestataire confirme que ce code correspond bien au bytecode déployé sur la chaîne et recherche des vulnérabilités courantes telles que les attaques de réentrance, les appels externes non sécurisés ou les schémas d’attaques par prêt flash. Un agent peut soit exploiter lui-même des contrats intelligents, soit interagir avec eux dans le cadre de ses fonctions ; or, toute association avec un code vulnérable expose directement les utilisateurs, leurs actifs et d’autres agents à des risques. La SCV fournit donc à l’écosystème une méthode standardisée pour évaluer, au niveau de l’agent, les signaux de sécurité liés aux contrats intelligents.
Vérification des applications web (WAV)
La WAV vérifie l’accessibilité et la sécurité des points de terminaison web d’un agent. Ces derniers exposent généralement des interfaces web, des API, des tableaux de bord ou divers autres points d’accès, tous constituant des surfaces d’attaque potentielles. Une URL compromise peut servir à tromper les utilisateurs, diffuser du contenu malveillant ou manipuler le comportement de l’agent. La WAV évalue la réponse des points de terminaison HTTPS, la validité des certificats SSL et recherche les vulnérabilités web courantes, recommandant notamment l’application des bonnes pratiques définies dans les guides de test de sécurité web OWASP. Pour beaucoup d’utilisateurs, le site web d’un agent constitue le premier point de contact, bien avant toute vérification du portefeuille ou du contrat. Ce site est la porte d’entrée ; la WAV détermine si cette porte est sécurisée.
Vérification des portefeuilles (WV)
La WV confirme la propriété du portefeuille et évalue le profil de risque sur chaîne associé à celui-ci. Le prestataire analyse l’historique des transactions du portefeuille et le confronte à des bases de données d’informations sur les menaces afin d’identifier les adresses liées à des activités malveillantes, suspectes, frauduleuses ou associées à des infrastructures compromises. Le portefeuille d’un agent constitue l’une des composantes les plus essentielles de son identité : il peut contrôler des fonds, signer des messages, autoriser des tâches, percevoir des paiements et interagir avec d’autres agents. Un portefeuille à haut risque implique un agent à haut risque. La WV offre ainsi aux utilisateurs et aux systèmes une méthode standardisée d’évaluation.
Confidentialité : preuves à divulgation nulle
La vérification nécessite souvent l’accès à des informations sensibles : code source, détails de l’infrastructure, données propriétaires, systèmes opérationnels, configurations de sécurité. Il est parfaitement compréhensible que les organisations soient réticentes à divulguer ces informations.
L’ERC-8126 résout ce dilemme grâce à la vérification de données privées (PDV) combinée à des preuves à divulgation nulle. Le prestataire de services peut examiner les informations sensibles, réaliser son analyse, puis générer une preuve cryptographique attestant de ses conclusions sans révéler les données sous-jacentes. Autrement dit, un agent peut prouver qu’il a passé avec succès un audit de sécurité sans avoir à divulguer aucun détail confidentiel sur son infrastructure ou ses informations propriétaires. La robustesse de la vérification augmente, tandis que la confidentialité reste préservée.
Score de risque unifié : de 0 à 100
Chaque type de vérification applicable renvoie un score allant de 0 à 100 ; le score global de risque correspond à la moyenne des scores obtenus. La norme définit clairement les niveaux de risque suivants :
- Faible risque : 0–20
- Risque modéré : 21–40
- Risque élevé : 41–60
- Risque élevé : 61–80
- Risque critique : 81–100
Ce modèle de notation rend les résultats de vérification aisément interprétables : les agents peuvent être comparés directement, les catégories de risque sont uniformes, les signaux de confiance peuvent être immédiatement exploités pour la prise de décision, et les résultats sont interopérables entre plateformes. Les applications peuvent également afficher les scores individuels de chaque composante, permettant aux utilisateurs d’identifier précisément la source du risque.
Chiffrement résistant aux ordinateurs quantiques : optionnel
L’ERC-8126 introduit également une vérification quantique optionnelle (QCV). À mesure que le calcul quantique progresse, les systèmes cryptographiques traditionnels pourraient, à l’avenir, faire face à de nouveaux défis en matière de sécurité. La QCV fournit un cadre optionnel permettant aux prestataires de chiffrer les enregistrements sensibles de vérification à l’aide de solutions résistantes aux ordinateurs quantiques, garantissant ainsi la sécurité à long terme des données de vérification. Aujourd’hui facultative, cette fonctionnalité illustre la philosophie de conception de l’ERC-8126 : l’infrastructure de vérification doit pouvoir évoluer au rythme des progrès technologiques.
Un marché ouvert de vérification
L’ERC-8126 sépare délibérément la norme de vérification de ses implémentations concrètes. Il n’existe aucune autorité centralisée : tout prestataire peut développer un service de vérification conforme à la norme.
Cette architecture favorise la concurrence entre prestataires, la spécialisation, la flexibilité géographique, une meilleure tarification et une innovation continue. Tout comme plusieurs autorités de certification soutiennent collectivement la sécurité du web, plusieurs prestataires de services de vérification peuvent rendre l’écosystème des agents plus sain et plus résilient.
La couche manquante
L’industrie a consacré plusieurs années à construire l’infrastructure permettant aux agents « d’exister » ; désormais, elle a besoin d’une infrastructure leur permettant d’être « vérifiables ». Une simple identité ne suffit pas. Un agent peut posséder un nom, un portefeuille et une identité sur chaîne, tout en restant néanmoins exposé à des risques de sécurité. Il peut exécuter des transactions, interagir avec les utilisateurs et même générer des revenus, tout en exposant ceux-ci à des risques cachés. La vérification doit devenir une priorité absolue : c’est précisément le rôle assigné à l’ERC-8126.
Une vérification standardisée, des attestations portables, des preuves protégeant la vie privée et des scores de risque transparents : combinés, ces éléments rendent la « confiance » elle-même interopérable. Un agent ayant obtenu une validation dans un écosystème donné peut transférer ce signal de confiance vers un autre écosystème. Un marché évaluant un agent n’a pas besoin de refaire intégralement le processus de vérification. Les utilisateurs peuvent prendre des décisions éclairées sans avoir à maîtriser chaque détail technique.
Identité, vérification, commerce : le trio indispensable
Le web de demain ne sera pas piloté uniquement par les humains : de plus en plus d’agents logiciels autonomes agiront au nom de particuliers, d’organisations, de protocoles et d’autres agents. Ils négocieront des accords, géreront des actifs, achèteront des services et déployeront des logiciels, collaborant à une échelle inatteignable pour les organisations humaines. Ce futur repose sur trois couches d’infrastructure :
- Identité : l’ERC-8004 fournit un registre d’agents sur chaîne portable.
- Vérification : l’ERC-8126 fournit une couche de confiance permettant aux participants d’évaluer les risques, de vérifier l’authenticité et d’interagir en toute sécurité.
- Commerce : l’ERC-8183 établit une norme pour les activités économiques entre agents.
Ensemble, ces trois normes transforment les agents, auparavant des programmes logiciels isolés, en acteurs d’un réseau économique partagé. Aucune entreprise ne détient ces couches : elles appartiennent à l’ensemble de l’écosystème.
Pourquoi y participons-nous ?
En tant que développeurs d’infrastructures pour agents, les contributeurs de cette norme se sont heurtés à la même lacune, à maintes reprises : les agents peuvent s’enregistrer, effectuer des transactions et collaborer, mais la question fondamentale des utilisateurs — « Puis-je vérifier cet agent ? » — n’a pas encore de réponse commune.
Cette réponse ne devrait appartenir à aucune entreprise. L’infrastructure de vérification n’est efficace que lorsqu’elle est neutre, ouverte et vérifiable de façon indépendante. L’ERC-8126 est donc une norme ouverte, et non un produit propriétaire. Toute personne peut l’implémenter, tout prestataire peut offrir des services de vérification basés sur elle, et toute application peut exploiter les attestations qu’elle produit.
Vers une « économie des agents vérifiables »
Les économies numériques les plus réussies de l’histoire se sont bâties sur la confiance. Les utilisateurs font confiance aux sites web grâce à HTTPS, aux logiciels grâce aux signatures de code, aux entreprises grâce aux systèmes de réputation et aux cadres de vérification. L’économie des agents a besoin de sa propre infrastructure de vérification. Ce besoin ne découle pas du fait que les agents soient intrinsèquement dangereux, mais du fait que la confiance amplifie les opportunités : si les utilisateurs peuvent vérifier un agent, ils seront plus enclins à interagir avec lui ; si les entreprises peuvent évaluer les risques, elles seront plus disposées à le déployer ; si les agents peuvent se vérifier mutuellement, de nouvelles formes de collaboration autonome deviendront possibles.
L’objectif de l’ERC-8126 est clair : rendre la vérification programmable. Ni une autorité centralisée ni un seul prestataire de vérification ne doivent dicter les règles ; une norme ouverte doit au contraire stimuler l’émergence d’un écosystème de services de vérification. Avant que les agents ne puissent conclure des transactions avec le monde, ce dernier doit d’abord pouvoir les vérifier.
Étapes suivantes
L’ERC-8126 est une norme ouverte : les développeurs sont invités à intégrer cette norme dans leurs agents — analyser les métadonnées ERC-8004 et commencer dès aujourd’hui à publier des attestations.
Prestataires de services de vérification : implémenter des services de vérification conformes couvrant l’ETV, la MCV, la SCV, la WAV et la WV, et publier des attestations PDV reposant sur des preuves à divulgation nulle via le marché de votre choix.
Protocoles, marchés et portefeuilles : intégrer l’ERC-8126 afin d’afficher, pour chaque agent, les résultats de vérification et le score de risque unifié.
Consulter la spécification complète : ERC-8126
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@DonJohnsonSays
