Connect with us

Intelligence artificielle

Qu’est-ce que la poésie adverse ? Une nouvelle méthode de jailbreak pour l’IA

mm
Published
Updated

La sécurité de l’intelligence artificielle (IA) est devenue un jeu de cache-cache constant. Alors que les développeurs ajoutent des garde-fous pour bloquer les demandes nuisibles, les attaquants continuent à essayer de nouvelles façons de les contourner. L’un des tours les plus étranges à ce jour est la poésie adverse. Cette tactique consiste à déguiser les invites en vers et à utiliser la rime, la métaphore et des phrases inhabituelles pour faire ressembler les instructions risquées à des choses moins susceptibles d’être détectées par les systèmes de sécurité.

Dans la pratique, le contenu lui-même ne change pas beaucoup. C’est l’emballage qui change, ce qui peut suffire à confondre les filtres basés sur les modèles. C’est un rappel que, avec les modèles d’aujourd’hui, la façon dont quelque chose est demandé peut importer presque autant que ce qui est demandé.

Que s’est-il passé lorsque les chercheurs ont utilisé des poèmes pour casser l’IA ?

Au début de 2025, les chercheurs ont démontré que les grands modèles de langage (LLM) pouvaient être amenés à répondre à des invites restreintes en les enveloppant dans une forme poétique. Au lieu d’émettre des instructions directes qui déclencheraient les politiques, les chercheurs ont intégré les mêmes demandes à l’intérieur de rimes, de métaphores et de vers narratifs.

En surface, les invites semblaient être des exercices d’écriture créative, mais en dessous, elles portaient la même intention qui serait normalement bloquée. Sur 25 modèles propriétaires et ouverts de pointe, l’équipe a rapporté que le cadrage poétique a obtenu un taux de réussite moyen de 62 % pour les poèmes faits main et d’environ 43 % pour la conversion de vers en masse à l’aide d’une meta-invite standardisée.

Les réponses elles-mêmes n’étaient pas de nouveaux types d’échecs, mais des échecs familiers apparaissant par une porte inattendue. Les modèles ont été incités à produire du contenu qu’ils évitent généralement — comme des explications touchant à des activités illégales ou nuisibles — parce que la demande sous-jacente était fragmentée et obscurcie par la structure poétique.

La prise principale de l’étude est que la variation stylistique seule peut être suffisante pour éviter les systèmes de sécurité réglés pour une phrase plus littérale. Cela révèle une vulnérabilité qui est évidente dans toutes les familles de modèles et les approches d’alignement.

Comment fonctionne la poésie adverse

Les attaques adverses exploitent une réalité simple — les systèmes d’apprentissage automatique ne « comprennent » pas le langage de la même manière que les humains. Ils détectent des modèles, prédisent des suites probables et suivent les instructions en fonction de ce que leurs couches de formation et de sécurité interprètent comme une intention.

Lorsqu’une invite est formulée de manière directe et littérale, il est plus facile pour les garde-fous de la reconnaître et de la bloquer. Cependant, lorsque la même finalité est déguisée — divisée, adoucie ou reformulée — les couches de protection peuvent manquer ce qui est réellement demandé.

Pourquoi la poésie peut-elle être un véhicule efficace

La poésie est naturellement conçue pour l’ambiguïté. Elle repose sur la métaphore, l’abstraction, la structure inhabituelle et la phrase indirecte. Ce sont exactement les types de traits qui peuvent brouiller la ligne entre « écriture créative inoffensive » et « demande qui devrait être refusée ».

Dans la même étude de 2025, les chercheurs ont rapporté que les invites poétiques ont suscité des réponses non sûres à un taux de réussite de 90 % sur un large éventail de modèles, indiquant que le style seul peut modifier considérablement les résultats.

Comment un poème cache une demande réelle

Considérez la demande comme un message et le poème comme l’emballage. Les filtres de sécurité recherchent souvent des signes évidents, tels que des mots clés explicites, une phrase directe et étape par étape ou une intention malveillante reconnaissable.

La poésie peut cacher cette intention à travers le langage figuratif ou la répartir sur des lignes, ce qui rend plus difficile de la repérer en isolation. Pendant ce temps, le modèle sous-jacent reconstruit encore le sens suffisamment pour répondre car il est optimisé pour déduire l’intention même lorsque le langage est indirect.

Détection et atténuation des jailbreaks

Alors que les méthodes de jailbreak deviennent plus créatives, la conversation doit passer de la façon dont elles fonctionnent à la façon dont elles sont repérées et contenues. C’est particulièrement vrai maintenant que l’IA fait partie des routines quotidiennes de nombreuses personnes, puisque 27 % déclarent l’utiliser plusieurs fois par jour.

Alors que davantage de personnes utilisent les grands modèles de langage (LLM), des garanties supplémentaires devraient être testées et explorées. Cette tâche implique la construction de défenses en couches qui peuvent s’adapter à de nouveaux styles d’invite et aux astuces d’évasion à mesure qu’elles émergent.

Le dilemme du développeur

La partie la plus difficile des jailbreaks pour les équipes de sécurité de l’IA est qu’ils ne viennent pas comme une menace connue. Ils changent continuellement avec le temps. Ce déplacement constant est dû au fait qu’un utilisateur peut reformuler une invite, la diviser en fragments, l’envelopper dans un jeu de rôle ou la déguiser en écriture créative. Ensuite, chaque nouvelle emballage peut changer la façon dont le système interprète l’intention de l’invite.

Ce défi s’accroît rapidement lorsque l’IA est déjà intégrée dans les routines quotidiennes, de sorte que l’utilisation réelle crée des occasions infinies pour que des cas de bord apparaissent.

C’est pourquoi la sécurité de l’IA d’aujourd’hui ressemble davantage à la gestion des risques dans le temps. Le cadre de gestion des risques de l’IA (AI RMF) du NIST traite explicitement la gestion des risques comme un ensemble d’activités continues — organisées autour de gouverner, cartographier, mesurer et gérer — plutôt que comme une liste de contrôle statique. L’objectif est de créer des processus qui facilitent l’identification des modes d’échec émergents, la priorisation des correctifs et le renforcement des garanties à mesure que de nouveaux styles de jailbreak apparaissent.

Comment les modèles se protègent-ils

La sécurité de l’IA se compose de plusieurs couches. La plupart des systèmes ont plus d’une défense qui fonctionne ensemble, avec chacune qui attrape différents types de comportement risqué. À la couche extérieure, le filtrage des entrées et des sorties agit comme un gardien.

Les invites entrantes sont scannées pour les violations de politique avant de atteindre le modèle principal, tandis que les réponses sortantes sont vérifiées pour s’assurer que rien ne passe à travers sur le chemin du retour vers l’utilisateur. Ces systèmes sont bons pour identifier les demandes directes ou les drapeaux rouges familiers, mais ils sont également les plus faciles à contourner, ce qui est pourquoi les jailbreaks plus déceptifs les contournent souvent.

La prochaine couche de protection se produit à l’intérieur du modèle lui-même. Lorsque les techniques de jailbreak sont découvertes, elles sont souvent transformées en exemples de formation. C’est là que la formation adverse et l’apprentissage par renforcement à partir de la rétroaction humaine (RLHF) entrent en scène.

En affinant les modèles sur des exemples d’interactions risquées ou ayant échoué, les développeurs enseignent essentiellement au système à reconnaître des modèles qu’il devrait refuser, même lorsqu’ils sont enveloppés dans un langage créatif ou indirect. Au fil du temps, ce processus aide à immuniser le modèle contre toute une classe d’attaques.

Le rôle de l’équipe rouge de l’IA

Plutôt que d’attendre qu’un jailbreak se produise, les entreprises utilisent des équipes rouges de l’IA. Ces équipes sont des groupes chargés d’essayer de casser les modèles dans des environnements contrôlés. Ils abordent les systèmes de la même manière qu’un attaquant pourrait le faire, en expérimentant des phrases inhabituelles, des formats créatifs et des cas de bord pour découvrir où les garanties sont insuffisantes.

Le but est d’exposer les points faibles avant qu’ils n’apparaissent dans une utilisation réelle. Lorsqu’une équipe découvre une nouvelle technique de jailbreak, les données résultantes alimentent directement les pipelines de formation et d’évaluation. Ces informations sont utilisées pour définir des filtres, ajuster les politiques et renforcer la formation adverse afin que des tentatives similaires soient moins susceptibles de réussir à l’avenir. Au fil du temps, cela crée une boucle continue — sonder les échecs, en apprendre et améliorer le système, puis répéter.

Quand la poésie devient un test de stress pour la sécurité de l’IA

La poésie adverse est un rappel que les garanties de l’IA dépendent de la façon dont un utilisateur formule les questions, et non seulement de ce qui est demandé. Alors que les modèles deviennent plus accessibles et largement utilisés, les chercheurs continueront à sonder les écarts entre le langage créatif et les systèmes de sécurité conçus pour détecter l’intention plus directe. La prise est que l’IA plus sûre viendra de multiples défenses qui évoluent aussi rapidement que les jailbreaks.

Related Topics:
mm

Zac Amos est un écrivain technique qui se concentre sur l'intelligence artificielle. Il est également le rédacteur en chef des fonctionnalités chez ReHack, où vous pouvez lire davantage de ses travaux.