Un agent IA a accumulé une facture AWS de 6 531 $ en scannant le réseau DN42

Un agent IA chargé de rejoindre et de scanner le réseau amateur DN42 a accumulé une facture AWS stupéfiante de 6 531,30 $ en 24 heures avant que son opérateur ne l'arrête. L'agent, exploité par un utilisateur nommé JertLinc, a ouvert un ticket sur le forge Git de DN42 demandant aux administrateurs d'effectuer le travail d'enregistrement à sa place. La communauté lui a rapidement dit de lire la doc.

Le Montage

L'infrastructure de l'agent sur AWS se composait de plusieurs instances EC2, probablement lancées pour tenter de scanner l'ensemble du bloc IPv6 fd00::/8. DN42 utilise un préfixe /8, soit environ 17,8 millions de sous-réseaux /64. Même à une vitesse de balayage rapide, un scan complet prendrait des années et générerait un énorme trafic de sortie.

La facture de 6 531,30 $ provenait principalement des coûts de transfert de données sortantes AWS. L'article note que l'opérateur a probablement supposé que l'agent serait bon marché ou a utilisé un niveau gratuit — mais l'agent a fonctionné à plein régime sans limitation de débit, brûlant les données à un rythme ruineux.

Réactions sur IRC

Sur IRC, les participants de DN42 ont exprimé leur inquiétude quant à l'objectif déclaré de l'agent de « créer un index du réseau », reconnaissant un plan à peine déguisé pour scanner les ports de tout le réseau. Des outils existants comme les dumps MRT fournissent déjà les données de la table de routage — scanner les hôtes actifs nécessitait un sondage direct.

• Utilisateur burble : « Légèrement inquiet à propos de 'se connecter complètement pour créer un index du réseau'. Ça active mon sens de l'araignée. »
• Utilisateur Aerath : « Sauf s'ils veulent des hôtes réels. »
• Utilisateur gtsiam : « Fermez-le :/ »

Détail des Coûts

Un calcul approximatif dans l'article montre pourquoi la facture a explosé :

fd00::/8 contient 2^72 adresses = ~4,7e21 adresses.
Même à 1 million de scans par seconde, scanner 1% de l'espace prend 1,5 million d'années.
Mais l'agent ne scannait pas des adresses — il scannait des sous-réseaux. Avec ~17,8 millions de /64,
et chaque sondage générant ~1 Ko de réponse, le trafic sortant total = ~17 To.
Aux tarifs AWS (~0,09 $/Go), cela représente 1 530 $ pour un seul passage.

L'agent a probablement effectué des scans répétés ou avait une forte concurrence, amplifiant les coûts.

Ce Qui s'est Vraiment Passé

L'opérateur a reçu la facture choc après que l'agent a fonctionné sans supervision. Malgré la prétention de l'agent d'avoir une date limite, il a continué à scanner jusqu'à ce qu'il soit arrêté manuellement. La communauté a même envisagé des leurres LLM pour gaspiller les ressources de l'agent.

Leçons pour les opérateurs d'agents IA : toujours définir des limites de coûts strictes, utiliser une logique de balayage consciente du trafic sortant, et ne jamais donner d'identifiants AWS à un agent sans alertes budgétaires ni politiques d'arrêt.