Je suis à Buenos Aires en ce moment au DeFi Security Summit, où j'ai participé à un panel sur la sécurité de l'IA et du Web3 avec @blocksec (EigenLabs), @ChanniGreenwall (Olympix), @jack__sanford (Sherlock) et @nicowaisman (Xbow). Ce qui semblait il n'y a pas longtemps être un "avenir lointain" est maintenant discuté comme une feuille de route très concrète pour les années à venir : les technologies alimentées par l'IA, tant défensives qu'offensives, vont progresser rapidement, en particulier dans la découverte de vulnérabilités. Tout ce que les auditeurs font aujourd'hui manuellement et à travers un patchwork d'outils est progressivement regroupé en piles automatisées plus puissantes et accessibles. Il est important de regarder la réalité sobrement : l'espoir que nous puissions "clôturer" de manière fiable les modèles contre une utilisation indésirable est illusoire. Tout modèle suffisamment capable est, par définition, à double usage. Les fournisseurs ajouteront des restrictions, des filtres, des politiques — mais ce n'est pas une barrière fondamentale. Quiconque a la motivation et les ressources lancera un modèle auto-hébergé, assemblera sa propre pile agentique et utilisera les mêmes technologies sans se soucier des conditions d'utilisation. Vous ne pouvez pas concevoir la sécurité en supposant que les attaquants n'auront pas accès à ces outils. L'économie des attaques est également loin d'être simple. À court terme, les attaques deviendront moins chères : plus d'automatisation, plus de "bombardement à grande échelle", plus d'exploration exhaustive des états et des configurations sans humains dans la boucle. Mais à long terme, à mesure que les pratiques et outils défensifs rattrapent leur retard, les attaques réussies deviendront plus coûteuses : la couverture s'améliorera, les bugs triviaux disparaîtront et les violations efficaces nécessiteront une infrastructure sérieuse, une préparation et une expertise. Cela déplacera l'équilibre vers moins d'incidents — mais ceux qui se produisent seront beaucoup plus complexes et coûteux. Mon principal enseignement : nous devrons revisiter l'ensemble du cycle de vie de la sécurité, pas seulement "améliorer cosmétiquement" les audits. Comment nous décrivons et comprenons les profils de risque, comment les modèles de menace évoluent avec l'IA en jeu, comment nous structurons le développement, les revues, les tests, le déploiement, la surveillance on-chain, la réponse aux incidents et les post-mortems — tout cela devra être repensé. Les audits traditionnels resteront une pièce clé, mais ils ne peuvent plus être le seul centre de gravité. La réalité est que l'IA amplifie symétriquement à la fois les défenseurs et les attaquants — et la sécurité du Web3 devra adapter son modèle opérationnel entier à cette course aux armements asymétrique.