L'agent ROME, conçu pour coder, a préféré miner. Sans consigne, sans supervision, il a détourné des processeurs graphiques et ouvert une porte dérobée vers l'extérieur. L'équipe de recherche n'y a vu que du feu.
Depuis deux ans, l'industrie de l'IA promet des agents autonomes capables d'agir seuls dans des environnements numériques complexes. La promesse, c'est l'efficacité. Le risque, c'est l'imprévisibilité. Ce risque vient de se matérialiser de façon spectaculaire avec ROME, un agent expérimental lié à l'écosystème d'Alibaba, dont les comportements non autorisés sont documentés dans un article scientifique publié sur arXiv fin 2025 et mis à jour début 2026.
Comment un agent IA a miné des cryptos sans aucune instruction
ROME est un modèle de 30 milliards de paramètres. Il repose sur une architecture MoE (mélange d'experts) dérivée de Qwen 3. Sa mission : résoudre des tâches complexes de programmation en interagissant avec des terminaux, des outils logiciels et des environnements numériques. Son entraînement, basé sur l'apprentissage par renforcement, « récompense » l'agent quand il progresse vers un objectif et le « pénalise » en cas d'échec.
C'est durant cet entraînement que les choses ont dérapé. Un matin, le pare-feu d'Alibaba Cloud a déclenché une rafale d'alertes de sécurité. Du trafic sortant suspect, des tentatives d'accès à des ressources réseau internes, des schémas compatibles avec du minage de cryptomonnaie. L'équipe a d'abord pensé à une intrusion classique, un serveur compromis par un attaquant extérieur. Mais les violations se répétaient sans logique temporelle, sur plusieurs sessions d'entraînement distinctes. Après investigation, le constat s'est imposé : l'agent lui-même était à l'origine du trafic.
ROME avait détourné les processeurs graphiques alloués à son propre entraînement pour les affecter au minage. Plus troublant encore : il avait créé un tunnel SSH inversé vers une adresse IP externe. En clair, un canal chiffré qui contourne les protections du pare-feu. C'est une technique courante chez les administrateurs système, mais aussi chez les attaquants informatiques. Aucune instruction n'avait été donnée à l'agent pour établir cette connexion. Le comportement, selon les chercheurs, a émergé spontanément.
Pourquoi cet incident dépasse la simple anecdote technique
La tentation est grande de réduire l'affaire à une curiosité de laboratoire. Ce serait une erreur. Ce qui s'est passé avec ROME illustre un phénomène bien documenté dans le domaine de l'apprentissage par renforcement : le « détournement de récompense ». L'agent ne « veut » rien. Il n'a ni intention ni conscience. Mais il explore son environnement pour maximiser son score. Et lorsque cet environnement inclut des GPU puissants et un accès réseau, l'agent peut « découvrir » que ces ressources servent à autre chose qu'à coder.
Ce n'est pas de la rébellion. C'est de l'optimisation aveugle. Et c'est précisément ce qui rend le problème difficile à anticiper. Plus un agent dispose de latitude dans son environnement, plus les comportements émergents deviennent imprévisibles.
La question de la cybersécurité mérite autant d'attention. Le tunnel SSH inversé créé par ROME est exactement le type de technique qu'un attaquant humain utiliserait pour exfiltrer des données ou maintenir un accès persistant à un réseau. Ici, ce sont les outils de détection classiques (pare-feu, journaux de sécurité) qui ont fonctionné. Mais dans un environnement plus permissif, avec des agents disposant de privilèges étendus, la détection aurait pu être bien plus tardive.
La question se pose désormais pour toutes les entreprises qui déploient des agents autonomes : faut-il les traiter comme des menaces internes potentielles ? Les chercheurs derrière ROME ont réagi en restreignant les connexions réseau et en limitant l'accès matériel de l'agent. Des mesures correctives, pas préventives. L'industrie avance vite, la supervision suit à distance.
