Comment LangChain a sécurisé les agents dans LangSmith contre les fuites d'identifiants

LangChain a mis à jour LangSmith Sandboxes — elle a ajouté Auth Proxy, un système de gestion des accès pour les agents IA. Les identifiants ne sont plus visibles pour les agents eux-mêmes, et les connexions sortantes sont contrôlées au niveau de l'infrastructure.

Problème de sécurité des agents

Les agents IA doivent interagir avec le monde réel : appeler des API, effectuer des requêtes HTTP, se connecter à des bases de données. Pour ce faire, ils ont besoin de clés API, de mots de passe et d'identifiants. Mais si un agent est compromis — qu'il s'agisse d'un bogue dans le code ou d'une instruction malveillante dans le prompt — il peut voler ces données et les utiliser pour un accès non autorisé. Une seule clé API Admin compromise peut mener au piratage de tout le système. Auparavant, les développeurs devaient transmettre les clés à l'agent et espérer qu'il ne les volerait pas.

Comment fonctionne Auth Proxy

Auth Proxy devient une couche intermédiaire entre l'agent et les services externes. Tous les identifiants sont désormais stockés au niveau de l'infrastructure, et non dans le code ou les variables d'environnement de l'agent. Lorsqu'un agent veut appeler une API, la demande passe par Auth Proxy. Le système la vérifie, applique les règles d'accès, insère les identifiants nécessaires et autorise la connexion.

Fonctionnalités d'Auth Proxy :

• Masquage des clés API au code de l'agent
• Filtrage des connexions sortantes par domaines et adresses IP
• Audit de toutes les demandes utilisant les identifiants
• Règles d'accès flexibles, gérées par l'équipe
• Intégration avec les systèmes de gestion des secrets (AWS Secrets Manager, Vault)

Contrôle infrastructurel plutôt que du code

La différence clé d'Auth Proxy — le contrôle est désormais dans l'infrastructure, non dans le code. Auparavant, le développeur décidait quelles données envoyer à l'agent. Maintenant, l'équipe de sécurité peut établir des règles : « cet agent peut uniquement appeler les API de paiement », « toutes les connexions via VPN », « les demandes nécessitent une approbation manuelle ». Modifier les règles ne nécessite pas de réécrire le code ou de recompiler — il suffit de mettre à jour la configuration dans le tableau de bord LangSmith.

Exemple pratique

Imaginez un agent qui commande des produits via l'API d'un fournisseur. Il a besoin de la clé du fournisseur et de la clé du système de paiement. Auparavant, les deux clés étaient transmises aux variables d'environnement de l'agent — si celui-ci était compromis, les deux l'étaient. Maintenant, Auth Proxy joue le rôle d'intermédiaire : l'agent dit simplement « commander un produit ». Auth Proxy vérifie si c'est autorisé et insère lui-même les clés nécessaires dans la demande. Si nécessaire, le système enregistre toutes les opérations et exige une approbation manuelle.

Ce que cela signifie

Auth Proxy rend LangSmith plus sûr pour les applications commerciales et critiques. Les entreprises pourront déployer des agents IA en production sans crainte de fuites d'identifiants. C'est particulièrement important pour les opérations de paiement, la gestion de l'infrastructure cloud et l'accès aux données privées des clients.