La prochaine version du web sera conçue pour les machines, et non pour les humains (voir notre article « L’IA, un nouvel internet… sans condition »). Mais encore faut-il que les « agents intelligents », des machines capables de lire, d’interpréter et d’agir… puissent agir justement, explique The Economist. Et pour effectuer des tâches, l’infrastructure du web doit évoluer. « Un obstacle majeur réside dans le langage : il faut permettre aux agents de communiquer avec les services en ligne et entre eux ». Un site web ou un service en ligne communique généralement avec le monde extérieur via une interface de programmation d’application (API), qui indique aux visiteurs ses fonctionnalités, comme la prise de rendez-vous chez le médecin ou l’affichage d’une position géographique, rappelle The Economist. Or, les API sont conçues pour être consultées et implémentées par les humains et chacune possède ses propres spécificités et sa documentation. Cet environnement est complexe pour les agents d’IA : l’utilisation de chaque nouvelle API nécessite l’apprentissage de son langage spécifique. Pour agir de manière autonome sur le web, les agents auront donc besoin d’un mode de communication standardisé. C’est l’objectif du protocole MCP (Model Context Protocol), développé par Anthropic. « Mike Krieger, son directeur produit, explique que l’idée est née lors de la connexion de Claude, son chatbot, à des services comme Gmail, une plateforme de messagerie, et GitHub, un dépôt de code. Au lieu d’intégrer chaque application à Claude au cas par cas, l’entreprise souhaitait un ensemble de règles partagées pour permettre aux agents d’accéder directement aux e-mails ou aux fichiers d’un utilisateur ». Plutôt que de consulter des guides techniques, un agent peut interroger un serveur MCP sur le fonctionnement d’un système (réserver un vol, annuler un abonnement, effectuer un remboursement, etc.) et agir ensuite pour le compte de l’utilisateur, sans code spécifique.
« Imaginez que vous souhaitiez réserver un voyage de Londres à New York. Vous commencez par communiquer vos dates de voyage à une agence de voyages, qui répartit ensuite la tâche entre des agents spécialisés capables de rechercher des vols, des hôtels et des voitures. Ces agents contactent les serveurs MCP des compagnies aériennes, des hôtels et des agences de location de voitures, recueillent des informations, comparent les options et créent une liste d’itinéraires potentiels. Une fois votre option choisie, l’agent de voyages se chargera de la réservation. Je souhaite prendre un vol Londres-New York. Je dois réserver un hôtel et louer une voiture. Je préfère un siège côté couloir et un repas végétalien. Parfait ! Veuillez procéder à la réservation. Utilisateur : voici les détails de votre vol. Souhaitez-vous que je m’en occupe ? ».
Ce type de coordination nécessite donc des règles encadrant l’identification, la communication et la confiance entre les différents agents. La solution proposée par Google est le protocole A2A (agent à agent). Grâce à ce protocole, les agents peuvent présenter leurs services et se répartir les tâches. Laurie Voss, d’Arize AI, une startup d’agents de voyage, affirme que les entreprises se livrent à une véritable course pour définir les normes dominantes du web agentique. Le protocole le plus largement adopté permettra aux outils de ses contributeurs d’être plus performants, plus rapidement et avec plus de fonctionnalités.
Le 9 décembre, Anthropic, OpenAI, Google, Microsoft et d’autres ont annoncé la création de l’Agentic AI Foundation, qui développera des normes open source pour les agents d’IA. Le MCP d’Anthropic en fera partie, signe de son adoption croissante en tant que norme industrielle pour la communication agentique. Pour The Verge, Hayden Field s’enthousiasme. L’Agentic AI Foundation devrait accélérer considérablement le développement des agents. « L’ouverture des API entre applications et services web a été le fondement du Web 2.0, et par la suite, l’explosion extrêmement lucrative des applications mobiles à l’ère des boutiques d’applications. Inciter les utilisateurs (et leurs dépenses) à passer des applications et sites web aux agents d’IA est l’un des rares moyens pour les entreprises d’IA de rentabiliser leurs investissements colossaux. Or, les agents d’IA nécessitent de nouveaux types d’API, et MCP semble être la norme qui les transformera. La page web de MCP, avec une certaine ambition, le compare à l’omniprésent USB-C. » Rien de moins. « L’objectif est de créer un marché d’outils que les agents pourront utiliser ».
Pour l’instant, la majeure partie du web que ces agents parcourront reste conçue pour les humains. Trouver un produit implique toujours de naviguer dans des menus. Lors d’une recherche traditionnelle, l’utilisateur doit souvent cliquer sur des filtres, de lieu ou de type de cuisine quand vous cherchez un restaurant sur Google Maps par exemple. Pour faciliter l’accès aux sites web pour les modèles de langage, Microsoft a créé Natural Language Web (NLWeb), qui permet aux utilisateurs d’interagir avec n’importe quelle page web en langage naturel et de les augmenter d’une interaction structurée pour les agents, « afin de relier l’internet visuel moderne et celui utilisable par les agents », rappelle The Economist.
Les problèmes à venir du web agentique
« À mesure que les agents gagnent en compétences, une nouvelle compétition entre plateformes se dessine, cette fois-ci autour des agents eux-mêmes. Elle rappelle la guerre des navigateurs des années 1990, lorsque les entreprises se disputaient l’accès au web. Aujourd’hui, les navigateurs sont repensés avec les agents au cœur de leur fonctionnement. OpenAI et Perplexity ont lancé des navigateurs pilotés par des agents capables de suivre des vols, de récupérer des documents et de gérer leurs e-mails. Leurs ambitions vont plus loin. En septembre, OpenAI a permis d’effectuer des achats directs sur certains sites web depuis ChatGPT. La plateforme s’est également intégrée à des services comme Spotify et Figma, permettant aux utilisateurs d’écouter de la musique ou de modifier des designs sans changer d’application. Ces initiatives inquiètent les acteurs établis. En novembre, Amazon, le site de vente en ligne, a intenté un procès à Perplexity, accusant la start-up de violer ses conditions d’utilisation en omettant de préciser que son navigateur effectuait des achats à la place d’un utilisateur humain. Airbnb, l’application de location de courte durée, a choisi de ne pas intégrer ChatGPT, estimant que la fonctionnalité n’était pas encore « tout à fait au point ».»
Le problème, c’est que la publicité, moteur de financement d’internet, va également devoir s’adapter à ces transformations. Le web actuel repose sur la monétisation de l’attention humaine. Alphabet et Meta, deux des plus grandes entreprises technologiques, gagnent près de 500 milliards de dollars par an grâce à la publicité, soit plus de 80 % de leurs revenus. Mais qu’en sera-t-il dans un web parcouru par les agents plus que par les humains ?
« Dawn Song, informaticienne à l’Université de Californie à Berkeley, affirme que les spécialistes du marketing devront peut-être s’adresser non pas aux individus, mais à « l’attention des agents ». Les sites de voyage, par exemple, ne devront plus persuader le voyageur, mais son représentant numérique. Les tactiques resteront probablement les mêmes (optimisation du référencement, ciblage des préférences, paiement pour le placement publicitaire), mais l’audience sera constituée d’algorithmes. La navigation pilotée par des agents pourrait également considérablement accroître l’activité en ligne. Parag Agrawal, fondateur de Parallel Web Systems souligne que le web a été conçu pour des humains lisant à leur propre rythme. Les agents, eux, ne sont pas soumis à de telles limites. Ils peuvent analyser des milliers de pages en quelques secondes, suivre des liens que les humains négligent et mener de front plusieurs tâches, souvent invisibles à l’écran. Il prédit que les agents pourraient utiliser le web « des centaines, voire des milliers » de fois plus que les humains. » Au risque que ce web ci génère plus de vues, plus de coûts… mais pas plus de revenus.
« Lorsque les agents agissent, ils peuvent aussi se tromper. Un agent d’IA peut se comporter d’une manière que son utilisateur ne comprend pas pleinement. Il peut commettre des erreurs, puis inventer des explications. Plus inquiétant encore est la manipulation externe. L’injection de prompts – dissimuler des commandes malveillantes dans des pages web ou des fichiers – peut inciter les agents à divulguer des données, à contourner les contrôles de sécurité ou à entreprendre des actions non autorisées. Des mesures de protection permettent de réduire les risques. L’une d’elles consiste à limiter l’accès des agents aux services de confiance. Une autre est de leur attribuer des pouvoirs restreints. Certains pourraient être en « lecture seule », autorisés à récupérer des données mais pas à les envoyer ou à les modifier. D’autres pourraient n’agir qu’avec une confirmation humaine. Pour les tâches les plus sensibles, une intervention humaine peut s’avérer nécessaire. »
« Malgré les risques, les développeurs de logiciels restent optimistes. M. Agrawal envisage un passage d’un internet « à la demande », où les actions sont initiées par les utilisateurs, à un modèle « à l’initiative », où des agents agissent spontanément : ils organisent des réunions, signalent des recherches ou prennent en charge des tâches mineures. Ce modèle pourrait constituer les fondements d’une version nouvelle et radicalement différente du web. »
Pour le radar d’Oreilly, le développeur Andrew Stellman s’inquiète cependant de la généralisation du protocole MCP. « Un seul et même protocole simple permet de fournir à l’IA toutes sortes de données à intégrer dans son contexte ». « La promesse est bien réelle : dans de nombreux cas, la connexion des sources de données aux agents IA, qui prenait auparavant des semaines, ne prend plus que quelques minutes. Mais cette rapidité a un prix. »
« Les développeurs utilisent le MCP pour connecter rapidement leurs assistants IA à toutes les sources de données possibles (bases de données clients, tickets de support, API internes, bases de données documentaires) et les déversent dans le contexte de l’IA. Et comme l’IA est suffisamment intelligente pour trier une masse de données et en extraire les informations pertinentes, tout fonctionne parfaitement ! Ce qui, paradoxalement, pose problème. L’IA traite allègrement d’énormes quantités de données et produit des réponses pertinentes, si bien que personne ne songe à remettre en question son approche. C’est ce qu’on appelle l’accumulation compulsive de données. À l’instar des personnes qui accumulent les objets sans pouvoir s’en débarrasser, jusqu’à ce que leur logement devienne invivable, cette accumulation compulsive de données peut engendrer de sérieux problèmes pour les équipes. Les développeurs apprennent qu’ils peuvent extraire bien plus de données que nécessaire à l’IA et les lui fournir sans planification ni structuration, l’IA étant suffisamment intelligente pour les traiter et fournir malgré tout de bons résultats. Lorsque la connexion d’une nouvelle source de données prend des heures au lieu de jours, de nombreux développeurs négligent de se demander quelles données sont réellement pertinentes dans leur contexte. C’est ainsi que l’on se retrouve avec des systèmes coûteux à exploiter et impossibles à déboguer, tandis qu’une génération entière de développeurs passe à côté de l’opportunité d’acquérir les compétences essentielles en architecture de données nécessaires à la création d’applications robustes et maintenables. »
Pour Stellman, MCP fait vite oublier que « trop de données » peut devenir un problème et notamment poser des problèmes d’architecture ou de débogage. Ce contexte hypertrophié, quasiment imperceptible pour vos cent premières requêtes, devient un poste de dépense important dans votre facture cloud lorsque vous gérez des millions de requêtes. Chaque champ inutile transmis à l’IA s’accumule, et vous payez pour ces données redondantes à chaque appel. L’accumulation de données présente également un risque pour la sécurité, souvent négligé par les équipes. Chaque donnée exposée via un outil MCP constitue une vulnérabilité potentielle. Si un attaquant découvre un point d’accès non protégé, il peut récupérer toutes les données fournies par l’outil.
Pire, souligne-t-il : dans un cas extrême d’accumulation de données touchant toute une entreprise, vous pourriez découvrir que chaque équipe de votre organisation construit sa propre base de données. Le support à une version des données clients, les ventes une autre, le produit une troisième. Un même client apparaît complètement différent selon l’assistant auquel on s’adresse.
Quant au spécialiste de la sécurité, Bruce Schneier, il s’alarme : MCP et les protocoles similaires multiplient les surfaces d’attaque. « Des agents d’IA dignes de confiance requièrent l’intégrité, car on ne peut bâtir des systèmes fiables sur des fondations fragiles. Les agents d’IA actuels observent Internet, s’orientent grâce aux statistiques, décident de manière probabiliste et agissent sans vérification. Nous avons construit un système qui fait confiance à tout, et nous espérons maintenant un pare-feu sémantique pour le protéger. (…) Une IA à l’échelle du web signifie une défaillance d’intégrité à l’échelle du web. Chaque fonctionnalité est susceptible de corrompre. L’intégrité n’est pas une fonctionnalité que l’on ajoute ; c’est une architecture que l’on choisit. Jusqu’à présent, nous avons construit des systèmes d’IA où « rapide » et « intelligent » excluent « sécurisé ». Nous avons privilégié les capacités à la vérification, l’accès aux données à l’échelle du web à la garantie de la confiance. Les agents d’IA seront encore plus puissants et de plus en plus autonomes. Et sans intégrité, ils seront également plus dangereux. »
Enfin, comme l’exposent Natàlia Fernandez Ashman et Marta Bienkiewicz de Cooperative AI Foundation, on peut se demander si les régulations européennes sont prêtes pour cette IA agentive. Le projet de lignes directrices et de modèle de rapport sur les incidents graves liés à l’IA qui sera ajouté à l’IA Act, se concentre sur les défaillances d’un seul agent et d’un seul événement, et suppose une causalité simpliste et univoque pour les incidents liés à l’IA. Or, certains des risques les plus graves émergent déjà des interactions entre systèmes d’IA, où de multiples événements peuvent entraîner des effets en cascade et cumulatifs. Nombre d’incidents sont émergents : ils ne découlent pas d’une défaillance d’un système (et ne sont donc pas imputables à un seul acteur), mais d’interactions à l’échelle de l’écosystème agentique.
Hubert Guillaud
Cet édito a été publié originellement dans la lettre de Café IA du 23 janvier 2026.