SÉRIE — LES COUCHES DE L'IA · 05 / 06 — AGENTS
En novembre 2022, ChatGPT répondait. En 2026, ses héritiers agissent. Le mot « agent », pourtant, n'est pas neuf : il désigne en informatique depuis les années 1970 des systèmes capables de percevoir un environnement, raisonner et y agir — agents BDI (Belief-Desire-Intention) théorisés par Michael Bratman puis formalisés par Anand Rao et Michael Georgeff dans les années 80-90, planification automatique avec STRIPS (Fikes & Nilsson, 1971) puis PDDL (McDermott et al., 1998), systèmes multi-agents normalisés par FIPA et industrialisés par JADE (1998-2002), recherche opérationnelle. Ce qui change avec les LLM, ce n'est pas l'idée d'agir : c'est le moteur cognitif central — généraliste, capable de raisonner en langage naturel — et l'écosystème d'outils standardisés qui se branche dessus. Le saut industriel récent tient en quatre dates et autant de paliers techniques. Novembre 2022 : OpenAI ouvre ChatGPT au grand public — un chatbot qui répond mot après mot à une question, sans accès au monde réel. Juin 2023 : la même entreprise introduit le function calling dans GPT-4 ; le modèle peut désormais émettre une demande structurée pour appeler une fonction externe. La boucle commence à prendre forme. 25 novembre 2024 : Anthropic publie le Model Context Protocol — un protocole ouvert qui standardise la connexion d'un modèle à n'importe quel outil. 2026 : selon les données de l'écosystème, le SDK MCP dépasse 97 millions de téléchargements mensuels, adopté par OpenAI, Microsoft, AWS et placé sous la gouvernance de la Linux Foundation.
Quatre ans, quatre paliers, un déplacement central : le grand modèle de langage cesse d'être un générateur de texte pour devenir le moteur cognitif d'une boucle qui exécute. Anthropic le formule sans détour dans son guide de décembre 2024 : un agent n'est pas un workflow — c'est un système où le LLM dirige dynamiquement ses propres processus et l'usage des outils, au lieu de suivre des chemins de code prédéfinis. La différence paraît subtile ; elle commande pourtant tout ce qui suit. Mais avant d'examiner le palier industriel récent, il faut situer l'antériorité — sous peine de prendre pour une révolution ce qui est, pour partie, une réactualisation.
Tool calling, ReAct et la définition minimale
Le pivot industriel silencieux a eu lieu en juin 2023. OpenAI introduisait alors le function calling dans GPT-4-0613 et GPT-3.5-turbo-0613. Le développeur déclare une fonction au modèle — signature, paramètres, description. Le modèle, plutôt que de répondre en prose, peut émettre du JSON structuré demandant l'appel de cette fonction avec des arguments concrets. L'application exécute, retourne le résultat, le modèle l'intègre. C'est une capacité interne au LLM, fine-tunée dans ses poids ; l'exécution réelle reste à la charge de l'application.
Le fondement académique date d'avant l'industrialisation. En octobre 2022, Yao et al. publient ReAct, présenté à ICLR 2023 : une architecture qui entrelace explicitement raisonnement et action. La boucle est tripartite — Thought (le LLM raisonne sur l'état courant), Action (il émet un appel d'outil), Observation (l'environnement retourne un résultat) — et se répète jusqu'à complétion. Sur HotpotQA, ReAct réduit les hallucinations en ancrant le raisonnement dans des observations récupérées via une API Wikipedia. Dans l'environnement de simulation ALFWorld, les auteurs rapportent une amélioration de 34% sur les méthodes antérieures. Le principe a essaimé bien au-delà du benchmark. Cette triade — raisonner, agir, observer — réactualise un schéma plus ancien : le cycle perception-décision-action des agents BDI, et la boucle planification — exécution — re-planification de l'IA symbolique. ReAct apporte la nouveauté du moteur LLM, pas celle de la boucle.
Simon Willison a posé la définition la plus utile, anti-hype et opérationnelle : un agent est « quelque chose qui exécute des outils en boucle pour atteindre un objectif ». Outils, boucle, objectif. Le reste est ingénierie.
Pour fixer le vocabulaire, une distinction à trois lignes vaut tous les paragraphes :
| Chatbot | Workflow | Agent | |
|---|---|---|---|
| Boucle | aucune (1 tour) | chemins de code prédéfinis | boucle dynamique pilotée par le LLM |
| Contrôle du flux | l'utilisateur | le code applicatif | le LLM lui-même |
| Prévisibilité | réponse unique | déterministe | flexible, non bornée par défaut |
Anthropic en tire une règle de prudence qu'il faudrait afficher au-dessus de chaque tableau blanc : ne construisez pas un système agentique si un workflow simple suffit. La complexité agentique ouvre des boucles non bornées ; elle a un coût en latence, en tokens et en surface d'erreur.
Un agent n'est pas magique. C'est une boucle : LLM, outils, observation, recommencement — jusqu'à ce que la tâche soit faite ou qu'un humain reprenne la main.
La boucle ReAct : Thought → Action → Observation, répétée jusqu'à complétion de la tâche ou interruption humaine — c'est tout ce qu'est un agent.
MCP : quand M×N devient 1+N
Avant novembre 2024, intégrer M modèles à N outils exigeait M×N connecteurs. Chaque équipe réécrivait l'accès au même GitHub, au même Slack, au même PostgreSQL. La masse cumulée de cette duplication a fini par produire ce que l'industrie redoutait : la combinatoire est devenue le goulot d'étranglement des agents.
Le 25 novembre 2024, Anthropic publie le Model Context Protocol. Conçu par David Soria Parra et Justin Spahr-Summers, MCP est un protocole ouvert basé sur JSON-RPC 2.0, explicitement inspiré du Language Server Protocol qui a unifié, dix ans plus tôt, l'écosystème des éditeurs de code. La promesse est arithmétique : transformer M×N en M + N. Chaque modèle implémente un client MCP ; chaque outil expose un serveur MCP ; tout host conforme peut se brancher à tout serveur conforme.
Une confusion à dissiper d'emblée. Tool calling et MCP ne sont pas la même chose, et ne sont pas en concurrence. Le tool calling est une capacité du modèle — fine-tunée dans ses poids — à demander l'appel d'un outil. MCP est un protocole standardisé qui normalise comment ces outils sont exposés et consommés, indépendamment du modèle. Les deux sont complémentaires : un host applicatif s'appuie sur MCP pour découvrir et invoquer des serveurs ; le LLM qui propulse ce host produit, via son tool calling natif, les appels transmis par MCP. Le premier est interne au modèle, le second relie les applications entre elles.
Anthropic recommande explicitement de ne pas construire un agent si un workflow simple suffit. La complexité agentique a un coût — en latence, en tokens, en surface d'erreur.
L'architecture tient en trois rôles. Le host est l'application IA qui initie les connexions — Claude Desktop, Cursor, Claude Code, ou un host maison construit sur les SDK officiels. Le client vit à l'intérieur du host et maintient une connexion dédiée à un seul serveur ; un host peut héberger plusieurs clients en parallèle. Le serveur expose les capacités — local sur stdio, distant sur SSE ou HTTP. Chaque connexion est négociée par un handshake JSON-RPC qui annonce les capacités disponibles.
Architecture MCP : un host héberge plusieurs clients, chaque client se connecte à un serveur — M×N connecteurs réduits à M+N.
Quatre types de capacités circulent sur ce protocole. Les Tools sont des fonctions exécutables que le LLM peut appeler — lire un fichier, requêter une base, créer une issue GitHub. Les Resources sont des données consultables exposées comme contexte. Les Prompts sont des templates réutilisables publiés par le serveur. Le Sampling inverse la direction habituelle : le serveur peut demander au client de générer une complétion via son LLM, ce qui lui permet d'utiliser l'IA sans détenir de clé API.
L'écosystème a basculé en seize mois. Anthropic a publié dès novembre 2024 des serveurs officiels pour Google Drive, Slack, GitHub, PostgreSQL et le système de fichiers. Selon les données de l'écosystème, plus de 10 000 serveurs MCP publics existent en 2026, et le SDK officiel dépasse 97 millions de téléchargements mensuels. L'adoption industrielle a suivi : OpenAI en mars 2025, Microsoft en juillet 2025, AWS en novembre 2025, Linux Foundation en gouvernance en décembre 2025 — l'équivalent d'une normalisation accélérée.
Orchestration multi-agents
Une fois la boucle individuelle stabilisée, la question suivante émerge naturellement : comment faire collaborer plusieurs agents ? Quatre frameworks dominent le paysage 2025-2026, chacun avec une philosophie distincte.
Anthropic a publié son Claude Agent SDK en février 2025, comme infrastructure officielle propulsant Claude Code. Un agent principal spawne des sous-agents via un outil Task ; chaque sous-agent reçoit son propre contexte isolé, ses outils restreints et — point différenciateur — peut être routé vers un modèle spécifique (haiku pour les lookups mécaniques, sonnet pour la logique standard, opus pour les décisions architecturales). LangGraph, du côté de LangChain, modélise les agents comme des graphes d'état stateful : nœuds et arêtes dans un StateGraph, avec checkpointing sur SQLite ou Redis et une primitive interrupt() qui suspend l'exécution en attente d'une décision humaine.
CrewAI propose une abstraction d'équipe avec rôles : chaque agent est défini par un role, un goal et une backstory, et le processus est séquentiel ou hiérarchique avec un manager LLM. AutoGen, le framework Microsoft, mise sur la conversation multi-agents : des AssistantAgent et UserProxyAgent coordonnent leur travail en s'écrivant des messages. Le modèle conversationnel rend le prototypage rapide ; il offre moins de contrôle pour des pipelines stricts.
| Framework | Modèle de contrôle | HITL natif | Meilleur pour |
|---|---|---|---|
| Claude Agent SDK | spawn de sous-agents | permissions par agent | Claude natif, routage multi-modèle |
| LangGraph | graphe stateful | interrupt() natif | pipelines stricts, production |
| CrewAI | équipe avec rôles | via processus | abstraction métier accessible |
| AutoGen | conversation multi-agents | UserProxy | prototypage rapide |
Cas d'usage 2026 : ce qui fonctionne vraiment
Le terrain a tranché. Les agents qui tiennent en production partagent trois invariants : des tâches au succès vérifiable, un environnement sandbox qui borne les dégâts possibles, une supervision humaine sur les actions irréversibles. À l'inverse, les démonstrations sur tâches floues s'effondrent dès qu'on quitte la captation d'écran.
Claude Code, lancé en research preview en février 2025 et propulsé par le Claude Agent SDK, est l'incarnation la plus aboutie de cette discipline. CLI, IDE, desktop : il lit un codebase entier, planifie sur plusieurs fichiers, exécute des changements, lance les tests et itère jusqu'à passage. Ses outils sont volontairement minimaux — Read, Write, Edit, Bash, Glob, Grep, et le Task qui spawne des sous-agents. Simon Willison y voit, dans sa rétrospective annuelle, « l'événement le plus impactant de 2025 ». Ce qui fonctionne : les tests sont la fonction de vérification, le sandbox borne l'exécution, l'humain valide avant commit.
Devin, de Cognition Labs, est l'un des premiers agents de développement autonomes à large diffusion. Devin 1.0 paraît en mars 2024, Devin 2.0 en avril 2025 à 20 dollars par mois. Les chiffres publiés par Cognition en fin 2025 indiquent 67% de pull requests mergées (contre 34% pour la version 1.0), une vélocité quadruplée, et un temps de traitement par vulnérabilité de 1,5 minute contre 30 minutes pour un humain. Les clients revendiqués incluent Goldman Sachs, Santander et Nubank. Le terrain est borné — un environnement sandboxé avec shell, éditeur et navigateur, sur des tâches au cycle court.
Les IDE agentiques — Cursor, Windsurf, Cline — ont rendu cette catégorie banale chez les développeurs ; les deux premiers exposent des serveurs MCP à leurs agents. Du côté grand public, OpenAI a intégré son agent de navigation web en agent mode dans ChatGPT en juillet 2025. Manus, publié en novembre 2025, vise le créneau de l'agent général autonome non spécialisé code, avec une approche dite CodeAct qui utilise du Python exécutable comme mécanisme d'action.
Garde-fous : ce qu'un agent bien construit exige
Un agent qui peut écrire dans un système de fichiers, ouvrir un navigateur, payer une facture ou pousser du code sur un dépôt n'est plus un assistant — c'est un acteur. Cette bascule impose une discipline qui distingue les démos des déploiements. Quatre disciplines, précisément.
L'isolation d'abord. Aucun agent qui exécute du code arbitraire ne devrait tourner sur la même machine que des données critiques. Les options éprouvées : gVisor pour une isolation kernel au niveau du conteneur, Firecracker microVMs pour une isolation VM légère, WASI pour scoper les capacités de plugins WebAssembly. La règle : un agent sans sandbox est un incident en attente.
La supervision humaine ensuite, dans une logique tiered. Tier 1 (lecture seule) : un monitoring automatisé suffit. Tier 2 (actions réversibles) : guardrails temps réel, alerting, rollback. Tier 3 (transactions financières, écritures sur systèmes de production, données sensibles) : approbation humaine explicite et obligatoire. LangGraph industrialise ce dernier point avec sa primitive interrupt() : l'agent se met en pause, l'humain fournit une décision, l'état est checkpointé pour reprendre exactement là où il s'est arrêté.
L'observabilité enfin. Un agent non observable est un agent qu'on ne peut pas déboguer — donc pas exploiter. LangSmith, intégré à LangChain, offre un overhead quasi nul. Langfuse, open-source, combine prompt management et traces avec une option self-hosted. Phoenix, d'Arize, s'appuie sur OpenTelemetry pour rester compatible avec n'importe quel framework.
La « lethal trifecta » de Simon Willison : données privées + contenu non fiable + communication externe = fuite possible. Trois conditions suffisantes pour qu'un agent devienne une surface d'attaque.
Cette formule, due à Simon Willison, condense un risque sous-estimé. Quand un agent dispose simultanément des trois capacités — accès à des données privées, exposition à du contenu non fiable (pages web, courriels, documents tiers susceptibles d'injection de prompt), et capacité de communication externe — un attaquant peut, par contenu manipulé, exfiltrer les données privées via le canal de sortie. Le contournement consiste à briser au moins l'une des trois branches : restreindre les données accessibles, sandboxer le contenu non fiable, ou limiter les destinations par allowlist. Le quatrième pilier — l'audit log immuable et append-only de toutes les actions, idéalement intégré à un SIEM — est moins glamour mais tout aussi indispensable.
Ce que ça change (et ce que ça ne change pas encore)
Démystification d'abord, puisque c'est l'objet de cette série. Un agent n'est ni une intelligence émergente ni un assistant magique : c'est une boucle qui combine un LLM, des outils et des observations, jusqu'à atteindre un objectif ou se voir interrompre. Tout le reste — orchestration multi-agents, MCP, sandbox, observabilité — est de l'ingénierie autour de cette boucle.
Les limites n'ont pas disparu en 2026. Les hallucinations cumulent sur plusieurs étapes : une erreur au pas trois contamine les suivants jusqu'à divergence. Le coût en latence et en tokens d'une boucle longue dépasse vite celui d'une réponse unique. Sans budget d'itérations strict, les boucles infinies guettent. Et la fiabilité reste inégale dès qu'on quitte les tâches à critères de succès vérifiables.
Le vrai progrès des deux dernières années n'est pas dans le modèle. Il est dans la toolchain qui l'entoure. Sandbox industrialisée, observabilité native, protocoles d'interopérabilité comme MCP, primitives de human-in-the-loop dans les frameworks : c'est l'écosystème qui a rattrapé la puissance brute du LLM, et c'est ce rattrapage qui fait que des agents tiennent aujourd'hui en production. La perspective 2026-2027 confirme cette trajectoire : plutôt que l'AGI généraliste promise dans les conférences, ce sont des agents spécialisés par domaine qui s'imposent — code, finance, droit, ops — chacun avec sa toolchain calibrée et son périmètre vérifiable. L'industrialisation, pas la magie. Et pour fermer la parenthèse historique : la boucle elle-même n'est pas neuve. Cinquante ans d'IA classique — planification, agents BDI, systèmes multi-agents, recherche opérationnelle — ont produit le squelette ; ce que les LLM apportent, c'est un moteur cognitif généraliste qui raisonne en langage naturel et un écosystème d'outils standardisé (MCP, frameworks). C'est suffisant pour débloquer des cas d'usage qui résistaient à l'IA classique seule, et insuffisant pour rendre obsolètes les techniques antérieures qui restent indispensables (par exemple, un solveur RO sur un problème d'ordonnancement industriel). Reste une question : sur quels modèles ces agents s'appuient-ils ? La compétition entre les grands fournisseurs s'est intensifiée à un rythme inédit. C'est l'objet du dernier article de la série.
Une question, un projet IA ?
Vous explorez une architecture, évaluez un modèle ou planifiez un déploiement — échangeons sur votre contexte.
Prendre contact →