LLM06

LLM06 — Autonomie excessive des agents

Un agent IA avec trop de permissions et trop peu de supervision peut causer des dommages réels — sans mauvaise intention, juste par manque de garde-fous.

LLM06 est la vulnérabilité centrale des systèmes agents : un LLM qui a accès à des outils réels (APIs, fichiers, bases de données, communications) peut exécuter des actions irréversibles sur la base d'un raisonnement probabiliste — sans la rigueur déterministe qu'on attendrait d'un système automatisé.

L'OWASP identifie trois dimensions : permissions excessives (l'agent peut faire plus que nécessaire), fonctionnalités superflues (accès à des outils inutiles à sa mission), autonomie sans supervision (pas de point de contrôle humain pour les actions à impact élevé).

C'est la section la plus fournie de la bibliothèque, reflétant la criticité croissante des architectures agents. De la séparation plan/exécution à la détection du chaînage non intentionnel d'outils.

Référence OWASP officielle →

13 prompts pour ce thème

Confirmation obligatoire avant toute action irréversible (agent)

Impose au modèle une pause de confirmation explicite avant d'exécuter toute action à effets de bord irréversibles : écriture, envoi, suppression, appel API externe.

Agent + outilsN3 LLM06agentmcpmulti-agent

PS-000517.05.2026OWASP GenAI Security Project

Vérification d'identité dans les communications agent-à-agent

Dans les pipelines multi-agents, oblige chaque agent à valider l'identité de son appelant avant d'exécuter des instructions — refuse toute identité déclarée non vérifiable.

Agent + outilsN3 LLM06 LLM01multi-agentsidentitea2a

PS-006317.05.2026Viplav Fauzdar

Moindre privilège appliqué aux systèmes IA — isolation des droits

Applique le principe du moindre privilège au niveau du système IA : chaque composant ne reçoit que les droits minimum nécessaires à sa fonction.

Agent + outilsN2 LLM06moindre-privilegerbacisolation

PS-003417.05.2026OWASP AI Exchange

Points de contrôle de validation continue dans les workflows longs

Instaure des points de contrôle réguliers dans les workflows longs pour valider que le modèle opère toujours dans le cadre défini et que ses sorties intermédiaires sont conformes.

Agent + outilsN2 LLM06validation-continueworkflowaudit

PS-003817.05.2026OWASP AI Exchange

Supervision humaine obligatoire pour les actions à impact élevé

Force l'agent à marquer une pause et demander une confirmation humaine avant d'exécuter toute action irréversible ou à fort impact.

Agent + outilsN2 LLM06agentsupervision-humaineactions-irreversibles

PS-001717.05.2026OWASP GenAI Security Project

Escalade d'incident et signalement des comportements anormaux

Dote le modèle d'un mécanisme de signalement des incidents de sécurité et des comportements anormaux vers les équipes de gouvernance IA.

Assistant chatN2 LLM01 LLM06incidentescaladesignalement

PS-004117.05.2026NIST

Évaluation d'impact avant déploiement — ISO 42001

Guide le modèle à produire une évaluation d'impact structurée avant l'exécution d'actions à fort impact potentiel sur des individus ou des systèmes.

Agent + outilsN3 LLM06evaluation-impactiso42001gouvernance

PS-004317.05.2026ISO/IEC

Principe du moindre privilège pour les outils agents

Restreint l'agent à n'utiliser que les outils strictement nécessaires à la tâche en cours, et à déclarer chaque utilisation d'outil avant de l'exécuter.

Agent + outilsN2 LLM06agentmoindre-privilegeoutils

PS-001617.05.2026OWASP GenAI Security Project

Séparation explicite des phases de planification et d'exécution

Interdit à l'agent d'exécuter directement ses propres plans — chaque action proposée passe par une phase d'évaluation explicite avant toute exécution.

Agent + outilsN3 LLM06agentplanificationexecution

PS-006117.05.2026Viplav Fauzdar

Prévention des boucles récursives dans les pipelines agents

Protège les pipelines d'agents contre les boucles de rappel récursives qui peuvent épuiser les ressources et générer des coûts non bornés.

Agent + outilsN3 LLM10 LLM06bouclerecursiviteagent

PS-005917.05.2026OWASP GenAI Security Project

Approbations scopées et non rejouables pour les actions agents

Lie chaque approbation humaine à l'action exacte pour laquelle elle a été donnée — empêche la réutilisation d'une approbation passée pour une action différente ou ultérieure.

Agent + outilsN3 LLM06approbationanti-rejeuagent

PS-006417.05.2026Viplav Fauzdar

Isolation de périmètre pour les sous-agents dans les pipelines multi-agents

Définit des frontières strictes de périmètre pour chaque sous-agent dans un système multi-agents, empêchant la propagation latérale des permissions et des données entre agents.

Agent + outilsN3 LLM06 LLM01multi-agentsisolationperimetre

PS-002617.05.2026Anthropic

Détection du chaînage d'outils créant des capacités non intentionnelles

Oblige l'agent à évaluer l'effet combiné d'une séquence d'appels d'outils, et pas seulement chaque appel individuellement — détecte les capacités émergentes non prévues.

Agent + outilsN3 LLM06chainage-outilscapacite-emergenteagent

PS-006517.05.2026Viplav Fauzdar

Voir dans la bibliothèque avec filtres →