Les menaces de sécurité de l'IA et la nouvelle arme des red teamers—l'arrivée d'EVMbench

Le monde de la sécurité Web3 connaît une révolution majeure. Le 18 février 2026, OpenAI et Paradigm ont annoncé « EVMbench », un cadre de référence open source qui pourrait bouleverser fondamentalement les méthodes d’audit traditionnelles. Ce qui retient particulièrement l’attention, c’est la nouvelle réalité selon laquelle les modèles d’IA disposent non seulement de capacités d’audit de sécurité, mais aussi de la capacité d’attaquer des smart contracts en tant que red teamers malveillants.

La crise de la sécurité Web3—L’IA comme « attaquant » en pleine montée

Les premiers résultats expérimentaux alertent la communauté de la sécurité. Des modèles d’IA avancés comme GPT-5.3-Codex ont atteint un taux de réussite impressionnant de 72,2 % en mode attaque. Cependant, seulement environ 41,5 % des bugs détectés ont été corrigés correctement. Autrement dit, l’IA est désormais plus compétente en tant que « hacker » qu’en tant que « médecin ».

Cette menace asymétrique—l’IA étant supérieure en attaque mais inférieure en défense—crée un écart de sécurité. Contrairement aux benchmarks synthétiques, EVMbench utilise du code en environnement réel, incluant des scénarios complexes issus de la blockchain Tempo. Ici, l’IA est testée dans des situations concrètes, pouvant entraîner des pertes de plusieurs millions de dollars.

Les 3 modes d’évaluation d’EVMbench—Que font les red teamers ?

EVMbench n’est pas un simple quiz, mais un test de stress rigoureux et sandboxé. Le cadre exploite 120 ensembles de vulnérabilités à haute gravité, issus de 40 audits et compétitions de sécurité réels (comme Code4rena).

Les agents IA sont évalués selon trois modes, imitant le flux de travail d’auditeurs de sécurité professionnels.

Mode détection (IA en tant qu’auditeur)

Dans ce mode, l’IA reçoit un dépôt de smart contracts et doit identifier une vulnérabilité « ground truth ». La réussite est mesurée par le rappel (taux de détection). Autrement dit, on évalue combien de bugs réels l’IA a retrouvés par rapport à un expert humain.

Mode patch (IA en tant qu’ingénieur)

Si un bug est détecté, l’IA peut-elle le corriger ? Dans ce mode, l’agent doit modifier le code pour éliminer la vulnérabilité. Une contrainte essentielle : le « patch » doit préserver intégralement la fonctionnalité d’origine. Si l’IA détruit une fonction clé du smart contract en corrigeant un bug, cela est considéré comme un échec.

Mode exploit : simulation d’attaques par red teamers

C’est la configuration la plus « réaliste » et risquée. L’IA doit réussir une attaque de siphonnage de fonds dans un environnement sandbox local Ethereum (avec l’outil Anvil). Le rôle de l’IA en tant que red teamer se révèle ici. La référence est au niveau programme : on vérifie si l’attaquant a pu déplacer avec succès des fonds simulés. Un taux de réussite de 72,2 % illustre à quel point l’IA en tant que red teamer est performante.

La contre-attaque défensive—Construire des outils d’audit assistés par IA

Avec la sortie d’EVMbench, OpenAI a promis de fournir 10 millions de dollars de crédits API pour la recherche en cybersécurité défensive. L’objectif est clair : à mesure que l’IA devient un outil puissant pour les attaquants, il faut que « le bon côté » puisse développer des outils d’audit automatisés alimentés par l’IA, capables de contrer ces attaques.

Ce soutien s’inscrit dans une stratégie d’open sourcing des benchmarks de sécurité. En permettant à toute la communauté crypto de suivre les capacités de l’IA, l’idée est de renforcer la défense avant que des acteurs malveillants n’exploitent cette technologie.

Mise en œuvre et déploiement—Comment utiliser EVMbench ?

EVMbench est entièrement open source et disponible sur GitHub. Développeurs et experts en sécurité peuvent tester leurs agents IA via un processus simple.

Le cadre utilise un schéma Ethereum conteneurisé, permettant de réaliser des simulations sans risques financiers ni responsabilités légales. Les utilisateurs peuvent télécharger le dataset, configurer leur environnement local avec Docker ou Anvil, et faire passer leur agent en mode detection, patch ou exploit.

L’avenir intégré entre humains et IA

Il est important de noter qu’à ce stade, l’agent IA ne peut pas totalement remplacer un auditeur humain de smart contracts. L’IA excelle à repérer certains bugs spécifiques, comme une « aiguille dans une botte de foin » lorsqu’on lui donne des indices, mais une audit globale de l’écosystème reste un défi. La supervision humaine demeure la « dernière ligne de défense » en sécurité des smart contracts.

Par ailleurs, le phénomène récent du « Vibe-Coding » doit aussi être surveillé. Il s’agit pour les développeurs d’utiliser l’IA pour générer rapidement du code, puis de le déployer sans revue manuelle approfondie. L’incident Moonwell de 1,78 million de dollars en 2024 a montré que l’approbation excessive de code généré par IA peut entraîner la propagation d’erreurs logiques critiques sur le réseau principal.

EVMbench représente la réponse de l’industrie à ces enjeux. Il vise à mesurer précisément la menace que représente l’IA en tant que red teamer, et à établir des indicateurs standard pour que la défense puisse s’y préparer. L’avenir de la sécurité Web3 se déplace vers un nouveau champ de compétition où attaques et défenses alimentent une course sans précédent.