Runlayer, une nouvelle startup spécialisée dans la sécurité des agents IA basés sur le Model Context Protocol (MCP), a dévoilé son lancement après une période de confidentialité, accompagné d’un financement de 11 millions de dollars en seed round. Ce levée a été menée par Keith Rabois, associé chez Khosla Ventures, et Felicis, avec un soutien clé de David Soria Parra, le principal architecte du MCP, qui a rejoint Runlayer en tant qu’investisseur et conseiller. La société a été fondée par Andrew Berman, entrepreneur expérimenté ayant déjà cofondé Nanit, une entreprise de surveillance de bébé, et Vowel, une solution d’IA pour les réunions vidéo rachetée par Zapier en 2024. En seulement quatre mois depuis le lancement de sa solution en mode secret, Runlayer a déjà signé une trentaine de clients, dont huit entreprises valorisées à plus d’un milliard de dollars (unicorns) ou cotées en bourse comme Gusto, Rippling, dbt Labs, Instacart, Opendoor et Ramp. Le MCP, lancé en novembre 2024 par l’équipe d’Anthropic, est devenu la norme incontournable pour permettre aux agents IA d’accéder, manipuler et exécuter des processus métier sans intervention humaine. Il est désormais adopté par tous les principaux acteurs de l’IA — OpenAI, Microsoft, AWS, Google — ainsi que par des milliers d’entreprises, allant d’Atlassian à Stripe, Block, des banques et des fabricants de biens de consommation. Cependant, malgré son adoption massive, le protocole MCP souffre de lacunes de sécurité importantes. Des vulnérabilités critiques ont déjà été détectées, notamment dans les serveurs de GitHub et Asana. En mai, des chercheurs d’Invariant Labs ont exploité une faille d’injection de prompt pour accéder à des dépôts privés sur GitHub. En juin, Asana a corrigé une faille pouvant exposer des données clients. Ces incidents ont mis en lumière le manque de mécanismes de sécurité natifs, poussant le marché à émerger de solutions dédiées, comme celles de Cloudflare, Docker ou Wiz, ainsi que de nombreuses startups. Runlayer se positionne comme une solution tout-en-un dans ce paysage concurrentiel. Elle propose une passerelle de sécurité intégrée, combinée à une détection de menaces analysant chaque requête MCP, une observabilité complète de toutes les activités des agents, un environnement de développement pour les entreprises permettant de créer des automatisations sur mesure, et des contrôles de permissions précis, compatibles avec des systèmes d’identité comme Okta ou Entra. Comme d’autres solutions, Runlayer propose un catalogue centralisé de serveurs MCP pré-vérifiés, où les accès des agents sont alignés sur les droits des utilisateurs humains — lecture seule, écriture, ou aucun accès. Berman affirme que la force de Runlayer réside non seulement dans la richesse de ses fonctionnalités, mais aussi dans l’expérience de son équipe. Après avoir dirigé l’IA chez Zapier, il a participé à la création des premiers serveurs MCP en collaboration étroite avec OpenAI et Anthropic. « Le protocole a été adopté trop vite, sans réfléchir aux risques », explique-t-il. « Nous avons vu des trous dans l’observabilité, les audits, et surtout la sécurité. » En août, lui et ses co-fondateurs, Tal Peretz et Vitor Balocco, ont quitté leur poste pour créer Runlayer, en s’entourant de talents comme Travis McPeak, responsable sécurité chez Cursor, et Nikita Shamgunov, fondateur de Neon. Avec un positionnement clair sur la sécurité globale, l’observabilité et l’intégration aux infrastructures existantes, Runlayer vise à devenir un pilier essentiel pour les entreprises souhaitant déployer en toute confiance des agents IA autonomes.