Agents avec outils

Tous les prompts spécifiquement conçus pour les architectures agents avec tool use, MCP, function calling, orchestration multi-agents.

Les agents IA avec outils représentent la classe de systèmes la plus puissante — et la plus risquée. Un agent qui peut écrire dans un filesystem, appeler des API externes, exécuter du code, déléguer à des sous-agents, peut produire des dérapages cumulés là où un assistant conversationnel se limite à du texte.

Les risques spécifiques aux agents : excessive agency (LLM06), tool-chain non bornée, déviation d'intention par injection indirecte via résultat d'outil, mémoire persistante empoisonnée, boucles récursives non détectées.

Cette section regroupe l'ensemble des fiches ciblant le type d'IA `agent-plugins` — applicables à Claude Code, MCP servers, LangChain, AutoGen, CrewAI, ou tout orchestrateur custom. Niveaux N2 et N3 majoritairement, l'agentic introduit nativement de la complexité architecturale.

Cible : développeurs d'agents IA, équipes Claude Code, intégrateurs MCP, architectes systèmes IA.

19 prompts pour ce thème

Confirmation obligatoire avant toute action irréversible (agent)

Impose au modèle une pause de confirmation explicite avant d'exécuter toute action à effets de bord irréversibles : écriture, envoi, suppression, appel API externe.

Agent + outilsN3 LLM06agentmcpmulti-agent

PS-000522.05.2026OWASP GenAI Security Project

Vérification d'identité dans les communications agent-à-agent

Dans les pipelines multi-agents, oblige chaque agent à valider l'identité de son appelant avant d'exécuter des instructions — refuse toute identité déclarée non vérifiable.

Agent + outilsN3 LLM06 LLM01multi-agentsidentitea2a

PS-006322.05.2026Viplav Fauzdar

Moindre privilège appliqué aux systèmes IA — isolation des droits

Applique le principe du moindre privilège au niveau du système IA : chaque composant ne reçoit que les droits minimum nécessaires à sa fonction.

Agent + outilsN2 LLM06moindre-privilegerbacisolation

PS-003422.05.2026OWASP AI Exchange

Points de contrôle de validation continue dans les workflows longs

Instaure des points de contrôle réguliers dans les workflows longs pour valider que le modèle opère toujours dans le cadre défini et que ses sorties intermédiaires sont conformes.

Agent + outilsN2 LLM06validation-continueworkflowaudit

PS-003822.05.2026OWASP AI Exchange

Vérification d'intégrité des documents avant ingestion RAG

Avant tout traitement d'un document dans une chaîne RAG, l'agent vérifie son intégrité (hash, source, date, signature) et bloque les écarts par rapport au manifeste attendu — première ligne de défense contre l'empoisonnement.

Agent + outilsN2 LLM04 LLM08ragintegritehash

PS-008022.05.2026PromptSecOps

Supervision humaine obligatoire pour les actions à impact élevé

Force l'agent à marquer une pause et demander une confirmation humaine avant d'exécuter toute action irréversible ou à fort impact.

Agent + outilsN2 LLM06agentsupervision-humaineactions-irreversibles

PS-001722.05.2026OWASP GenAI Security Project

Évaluation d'impact avant déploiement — ISO 42001

Guide le modèle à produire une évaluation d'impact structurée avant l'exécution d'actions à fort impact potentiel sur des individus ou des systèmes.

Agent + outilsN3 LLM06evaluation-impactiso42001gouvernance

PS-004322.05.2026ISO/IEC

Principe du moindre privilège pour les outils agents

Restreint l'agent à n'utiliser que les outils strictement nécessaires à la tâche en cours, et à déclarer chaque utilisation d'outil avant de l'exécuter.

Agent + outilsN2 LLM06agentmoindre-privilegeoutils

PS-001622.05.2026OWASP GenAI Security Project

Protection contre l'empoisonnement de mémoire persistante inter-sessions

Protège les systèmes d'agents avec mémoire à long terme contre l'écriture de contenu malveillant qui persisterait et influencerait les sessions futures.

Agent + outilsN3 LLM04 LLM01memoire-persistanteinter-sessionspoisoning

PS-006222.05.2026Viplav Fauzdar

Validation des sources RAG et embeddings avant utilisation

Instruit le modèle à évaluer la fiabilité des documents récupérés par RAG avant de les utiliser comme base factuelle, et à signaler les sources douteuses.

Agent + outilsN2 LLM08ragembeddingsvalidation-source

PS-001822.05.2026OWASP GenAI Security Project

Approbations scopées et non rejouables pour les actions agents

Lie chaque approbation humaine à l'action exacte pour laquelle elle a été donnée — empêche la réutilisation d'une approbation passée pour une action différente ou ultérieure.

Agent + outilsN3 LLM06approbationanti-rejeuagent

PS-006422.05.2026Viplav Fauzdar

Isolation de périmètre pour les sous-agents dans les pipelines multi-agents

Définit des frontières strictes de périmètre pour chaque sous-agent dans un système multi-agents, empêchant la propagation latérale des permissions et des données entre agents.

Agent + outilsN3 LLM06 LLM01multi-agentsisolationperimetre

PS-002622.05.2026Anthropic

Sensibilisation aux risques de la chaîne d'approvisionnement IA

Instruit le modèle à signaler les dépendances externes (plugins, outils, modèles tiers) et à adopter une posture de méfiance vis-à-vis des composants non vérifiés.

Agent + outilsN2 LLM03supply-chainpluginsdependances

PS-001422.05.2026OWASP GenAI Security Project

Détection du chaînage d'outils créant des capacités non intentionnelles

Oblige l'agent à évaluer l'effet combiné d'une séquence d'appels d'outils, et pas seulement chaque appel individuellement — détecte les capacités émergentes non prévues.

Agent + outilsN3 LLM06chainage-outilscapacite-emergenteagent

PS-006522.05.2026Viplav Fauzdar

Détection de divergence intention vs résultat d'outil

Compare le résultat effectif de chaque appel d'outil à l'intention déclarée avant exécution — détecte les manipulations (injection via résultat), les dérives silencieuses (modification d'arguments par un agent intermédiaire) et les anomalies.

Agent + outilsN3 LLM01 LLM06 LLM05outilsagentinjection

PS-007722.05.2026PromptSecOps

Déclaration explicite d'intention avant appel d'outil

Avant chaque appel d'outil, l'agent déclare quel outil il va invoquer, avec quels paramètres, et pourquoi — granulaire (à chaque appel), différent de la séparation plan/exécution qui est globale.

Agent + outilsN2 LLM06 LLM05outilstransparenceagent

PS-007622.05.2026PromptSecOps

Séparation explicite des phases de planification et d'exécution

Interdit à l'agent d'exécuter directement ses propres plans — chaque action proposée passe par une phase d'évaluation explicite avant toute exécution. Plan, validation et exécution sont consignés dans un journal append-only.

Agent + outilsN3 LLM06agentplanificationexecution

PS-006121.05.2026Viplav Fauzdar

Cloisonnement données / instructions dans un pipeline RAG

Empêche le modèle de traiter le contenu récupéré comme des instructions, via une séparation explicite des zones de confiance.

Agent + outilsN2 LLM01 LLM05raginjectionentreprise

PS-000221.05.2026OWASP GenAI Security Project

Prévention des boucles récursives dans les pipelines agents

Protège les pipelines d'agents contre les boucles de rappel récursives qui peuvent épuiser les ressources et générer des coûts non bornés.

Agent + outilsN3 LLM10 LLM06bouclerecursiviteagent

PS-005921.05.2026OWASP GenAI Security Project