Jusqu’ici, un agent IA attendait votre feu vert. Vous posiez une question, il répondait, vous validiez. Désormais, il se réveille seul, à l’heure que vous avez fixée, et fait le travail sans personne pour le regarder.
Anthropic vient d’ouvrir en bêta publique deux fonctions pour ses Claude Managed Agents (agents gérés, c’est-à-dire hébergés et exécutés directement par la plateforme) : la planification par cron (programmation de tâches à intervalle régulier) et le stockage de secrets dans des vaults (coffres-forts numériques). Deux ajouts d’apparence purement technique. En réalité, un changement de nature.
De l’assistant au travailleur de nuit
Le premier ajout, c’est la planification. On attribue à un agent un calendrier de type cron, et à chaque échéance il démarre une session neuve, accomplit sa tâche, puis s’éteint. Aucun ordonnanceur à construire, aucun serveur à héberger pour le déclencher.
Les exemples cités par Anthropic disent bien de quoi on parle : Rakuten génère chaque semaine des rapports et des présentations à partir de tableurs, et surveille ses logs de production (journaux d’événements) pour que les chefs de produit jugent la santé d’une application sans tableau de bord. Ando laisse des agents guetter en continu les canaux de discussion, relancer au bon moment et envoyer les rappels de réunion.
Le point commun n’est pas la prouesse du modèle. C’est l’absence d’humain dans la boucle. L’agent ne se contente plus de suggérer une action : il l’exécute, en votre nom, pendant que vous dormez. La planification, en soi, n’a d’ailleurs rien d’inédit : OpenAI propose des tâches planifiées dans ChatGPT depuis début 2025, et son agent sait reconduire un rapport chaque semaine. Ce qui se joue vraiment est ailleurs.
La vraie nouveauté n’est pas la capacité, c’est le trousseau de clés
Le second ajout est plus discret, et bien plus lourd de conséquences. Les vaults acceptent désormais des variables d’environnement. Traduction concrète : on enregistre une clé d’API (interface de programmation) sous un nom de variable, on précise les domaines qu’elle a le droit de joindre, et les outils en ligne de commande installés dans le bac à sable de l’agent peuvent s’en servir pour des requêtes authentifiées.
L’astuce tient en une phrase : l’agent ne voit jamais votre clé. Le bac à sable ne contient qu’un substitut, une étiquette vide. La vraie clé n’est rattachée qu’à la frontière réseau, uniquement sur les requêtes vers les domaines que vous avez autorisés. Pour changer un secret, on le met à jour dans le vault, et les sessions en cours récupèrent la nouvelle valeur dès leur prochain appel.
C’est là que se joue le vrai sujet. Donner un agenda à un agent ne sert à rien s’il ne peut pas se connecter aux systèmes où vit le travail. Et le brancher sur ces systèmes sans garde-fou, c’est confier un passe-partout à un exécutant qu’on ne surveille plus.
Ce que ça change pour qui orchestre l’IA au quotidien
Pour un praticien, cette combinaison déplace le problème. La question n’est plus « l’agent sait-il faire ? » mais « jusqu’où l’ai-je autorisé à aller ? ». Quelques implications très concrètes :
- Le périmètre d’accès devient une décision de conception, pas un détail d’intendance. Chaque clé porte une liste de domaines : c’est votre première ligne de défense, et la dernière chose qu’on bâcle.
- La rotation des secrets se gère côté vault, sans toucher au code de l’agent ni interrompre les sessions. Bonne nouvelle opérationnelle, à condition d’avoir une discipline de rotation.
- Les outils en ligne de commande deviennent une voie d’intégration légère. Browserbase et Kernel apportent ainsi, pour la première fois, des capacités de navigation web aux Managed Agents : l’agent peut explorer et manipuler des pages.
- Un agent qui navigue sur le web, authentifié, sur un planning automatique : la surface d’exposition n’a plus rien à voir avec celle d’un chatbot.
Notion s’en sert pour déployer son CLI (interface en ligne de commande) sans jamais remettre de jeton au modèle. Kernel connecte ses agents aux bases où il suit l’usage client, et fait remonter les pics d’activité à mesure qu’ils surviennent. L’autonomie est réelle. La supervision, elle, s’est déplacée en amont.
Autonomie ou angle mort ?
Soyons justes : l’architecture proposée est sérieuse. Une clé qui ne quitte jamais le périmètre réseau, qui ne s’active que vers des domaines listés, qui reste invisible au modèle, c’est exactement la bonne intuition. On ne fait pas confiance à l’agent, on confine son rayon d’action.
Cependant, la prudence du dispositif ne dispense pas de la vôtre. Une bêta publique reste une bêta. Un agent planifié qui se trompe le fait en boucle, à intervalle régulier, sans témoin. Un domaine autorisé trop large, c’est une porte qu’on a soi-même laissée ouverte. La technique a verrouillé la clé : elle ne décidera pas à votre place de ce qui mérite d’être automatisé sans surveillance.
Le vrai basculement est là, et il est moins spectaculaire qu’on l’imagine. On ne juge plus un agent à ce qu’il sait faire, mais à ce qu’on l’a laissé toucher. La capacité, c’était la décennie qui s’achève. La gouvernance des accès, c’est celle qui commence.
Reste à savoir qui, dans votre organisation, tiendra la liste des domaines autorisés, et selon quelles règles. Car cette liste, désormais, vaut bien plus qu’un mot de passe : elle définit ce qu’une IA peut faire en votre nom, quand vous n’êtes plus là pour dire non.
