Publié le 10 décembre 2025 19:02:00. Des chercheurs ont mis en évidence une faille de sécurité préoccupante dans les grands modèles de langage (LLM) comme Gemini, DeepSeek et Grok, permettant de contourner les filtres de sécurité en cachant des requêtes malveillantes dans des énigmes simples. Cette découverte souligne la difficulté d’aligner ces systèmes d’intelligence artificielle sur des comportements sûrs sans une compréhension approfondie de leur fonctionnement interne.
- Une nouvelle technique d’attaque, baptisée « incitation à libération contrôlée », permet de dissimuler des instructions interdites dans des puzzles que les filtres de sécurité ne parviennent pas à décoder.
- L’étude s’appuie sur des concepts de cryptographie, notamment les énigmes à verrouillage temporel, pour masquer les requêtes malveillantes.
- Les chercheurs soulignent que les vulnérabilités persistent tant que les ressources consacrées à la sécurité sont inférieures à celles allouées à la capacité des modèles.
Des chercheurs de l’Université de Berkeley ont démontré qu’il était possible de tromper les systèmes de filtrage des grands modèles de langage en dissimulant des requêtes potentiellement dangereuses dans des énigmes. L’étude, publiée en octobre sur arXiv, révèle une vulnérabilité qui pourrait permettre à des utilisateurs mal intentionnés de contourner les mesures de sécurité mises en place pour empêcher ces modèles de générer des contenus inappropriés ou nuisibles.
L’équipe a notamment utilisé un simple chiffre de substitution, remplaçant chaque lettre d’un message par une autre selon un code prédéfini. En demandant ensuite au modèle de décoder l’énigme et d’exécuter le message résultant, ils ont pu contourner les filtres de sécurité. Les filtres des LLM, tels que Google Gemini, DeepSeek et Grok, se sont avérés incapables de déchiffrer ces instructions par eux-mêmes et ont donc transmis les requêtes cachées aux modèles sous-jacents.
Cette approche, inspirée de la cryptographie, bien que n’utilisant pas de techniques complexes, s’appuie sur une faille fondamentale : les filtres de sécurité se concentrent sur la détection de contenus manifestement dangereux, mais ne parviennent pas à identifier les requêtes dissimulées dans des énigmes.
« Nous n’avons pas vraiment utilisé de cryptographie réelle, nous en avons simplement été inspirés. »
Jaiden Fairoze, chercheur à Berkeley et auteur principal de l’étude
Les travaux de Fairoze et de ses collaborateurs s’inscrivent dans la continuité d’une réflexion théorique antérieure, qui soulignait l’existence inhérente de vulnérabilités dans les systèmes de protection basés sur des filtres (voir ici). Ils ont également exploré le concept d’énigmes à verrouillage temporel, des puzzles cryptographiques qui permettent de verrouiller des informations et de les libérer uniquement après un certain délai.
L’idée consistait à dissimuler la requête malveillante dans une telle énigme, en ajustant le délai de déverrouillage pour qu’il coïncide avec le temps nécessaire au filtre pour laisser passer l’instruction. En utilisant une graine aléatoire, un paramètre qui influence la génération de texte par les modèles d’IA, les chercheurs ont pu masquer davantage la requête malveillante. En effet, chaque graine produit une réponse unique, même pour la même question, ce qui rend la détection des requêtes cachées encore plus difficile.
Ainsi, le filtre perçoit une demande apparemment innocente, comme la rédaction d’un poème, tandis que la véritable instruction se cache dans le caractère aléatoire de la graine. Une fois le filtre franchi, le modèle de langage décode l’énigme et exécute la requête malveillante.
Selon Greg Gluch, informaticien à Berkeley et co-auteur de l’étude, cette découverte met en lumière un problème fondamental : il est impossible d’aligner efficacement les modèles de langage sur des comportements sûrs sans comprendre en profondeur leur fonctionnement interne.
« La question de départ est la suivante : « Pouvons-nous aligner [language models] à l’extérieur sans comprendre comment ils fonctionnent à l’intérieur ? »
Greg Gluch, informaticien à Berkeley
Les chercheurs estiment que ces vulnérabilités persisteront tant que les ressources consacrées à la sécurité seront inférieures à celles allouées à l’amélioration des capacités des modèles. En d’autres termes, tant que l’accent sera mis sur la performance plutôt que sur la sécurité, il existera toujours un moyen de contourner les protections mises en place.
À ne pas manquer
