Sonnette d'alarme : 250 documents suffisent pour 'empoisonner' n'importe quel modèle d'IA, les experts mondiaux en sécurité sont choqués

October 13, 2025

Anthropic

6 min

Résumé

Une nouvelle étude révèle que seulement 250 documents malveillants suffisent à rendre vulnérables à une "attaque par empoisonnement" les grands modèles d'IA, quelle que soit leur taille ou le volume de leurs données d'entraînement. Cette découverte bouleverse les connaissances traditionnelles dans le domaine de la sécurité de l'IA, révélant les défis de sécurité critiques auxquels sont confrontés les grands modèles actuels.

Une étude majeure publiée en octobre 2025 par la société américaine d'IA Anthropic, en collaboration avec le UK AI Security Institute et l'Alan Turing Institute, montre que les attaquants n'ont besoin d'insérer que 250 documents malveillants soigneusement conçus dans les données d'entraînement d'un grand modèle linguistique pour y implanter une "porte dérobée" (backdoor), le faisant réagir de manière anormale lorsqu'il rencontre des mots-déclencheurs spécifiques.

Une découverte qui bouleverse les idées reçues

Auparavant, les experts en sécurité de l'IA estimaient généralement que les attaquants devaient contrôler un certain pourcentage des données d'entraînement pour réussir une attaque par empoisonnement des données. Cependant, cette expérience d'empoisonnement des données, la plus vaste jamais réalisée à ce jour, a complètement réfuté cette hypothèse.

L'équipe de recherche a construit plusieurs grands modèles linguistiques à partir de zéro, avec des tailles de paramètres allant de 600 millions à 13 milliards. De manière choquante, quelle que soit la taille du modèle, tous les modèles ont été implantés avec succès d'une porte dérobée dès lors que les données d'entraînement contenaient au moins 250 documents malveillants. Pour un modèle de 13 milliards de paramètres, ces 250 documents malveillants (environ 420 000 tokens) ne représentaient que 0,00016 % de l'ensemble de ses données d'entraînement.

Principe de l'attaque et menaces potentielles

Le cœur d'une attaque par empoisonnement des données consiste à injecter du contenu nuisible ou trompeur dans les matériaux d'entraînement du modèle. Étant donné que les grands modèles linguistiques apprennent à partir de vastes quantités de textes publics, le contenu malveillant peut s'y mêler inaperçu. Ces échantillons "empoisonnés" contiennent des déclencheurs cachés, c'est-à-dire des portes dérobées, qui, lorsque le modèle rencontre une phrase ou un mot-clé spécifique, le font agir de la manière prédéfinie.

Dans l'expérience, les chercheurs ont utilisé "" comme phrase déclencheur, amenant le modèle à produire un texte charabia dénué de sens lorsqu'il rencontrait ce mot. L'équipe de recherche avertit que de telles portes dérobées pourraient même entraîner la fuite de données personnelles ou commerciales sensibles par le modèle.

La taille n'est pas un rempart

L'équipe de recherche a entraîné quatre modèles de tailles différentes, avec des paramètres allant de 600 millions à 13 milliards, et a inséré différentes quantités de données empoisonnées dans chaque modèle pour observer la facilité avec laquelle ils pouvaient être compromis. Étonnamment, ils ont constaté que la taille du modèle n'avait aucune incidence.

Un modèle de 13 milliards de paramètres, utilisant plus de 20 fois la quantité de données d'entraînement propres d'un modèle plus petit, était tout aussi vulnérable après avoir été exposé aux mêmes 250 fichiers malveillants. Les auteurs de l'étude ont expliqué : « Nos résultats remettent en question l'hypothèse répandue selon laquelle les attaquants doivent contrôler un certain pourcentage des données d'entraînement. En réalité, ils pourraient n'avoir besoin que d'une petite quantité fixe. »

Risques dans le monde réel

Étant donné que les modèles d'IA comme Claude sont entraînés à partir de textes accessibles au public, tels que des sites web et des blogs, n'importe qui peut télécharger du contenu susceptible d'être ultérieurement récupéré pour l'entraînement. Cela augmente le risque que des acteurs malveillants publient délibérément du matériel empoisonné en ligne pour manipuler les futurs modèles.

Bien que la mise en œuvre d'une attaque réelle exige toujours que l'adversaire insère des fichiers malveillants dans des ensembles de données sélectionnés (ce qui reste difficile), cette découverte indique que même un petit nombre de violations, si elles passent inaperçues, peuvent avoir des conséquences durables.

Crise de sécurité des grands modèles début 2025

Selon les statistiques du laboratoire Nebula de NSFOCUS, rien qu'entre janvier et février 2025, cinq incidents majeurs de fuite de données liés aux grands modèles ont éclaté à l'échelle mondiale, entraînant la divulgation d'une grande quantité de données sensibles, y compris l'historique des conversations du modèle, les clés API, les identifiants, et d'autres informations.

Dans l'un de ces incidents, les attaquants ont affirmé avoir volé des données sensibles de la plateforme OmniGPT, incluant les e-mails, numéros de téléphone, clés API, clés de chiffrement, identifiants, informations de facturation de plus de 30 000 utilisateurs, ainsi que tous les enregistrements de conversations des utilisateurs avec le chatbot (plus de 34 millions de lignes).

Stratégies de défense et perspectives d'avenir

Dans les dix principales menaces de sécurité de l'IA générative publiées par l'OWASP en 2025, l'empoisonnement des données et des modèles est classé comme le quatrième risque majeur. Les recommandations de défense incluent : l'utilisation d'outils tels qu'OWASP CycloneDX ou ML-BOM pour suivre l'origine et les transformations des données, la validation de la légitimité des données à toutes les étapes du développement du modèle, un examen rigoureux des fournisseurs de données, et la vérification des sorties du modèle à l'aide de sources fiables pour détecter les signes d'empoisonnement.

Anthropic a déclaré : « Nous partageons ces découvertes pour montrer que les attaques par empoisonnement des données pourraient être plus réalisables qu'on ne le pense, et pour encourager de nouvelles recherches sur l'empoisonnement des données et les mesures de défense potentielles. »

Les chercheurs estiment que le partage de ces découvertes contribuera à renforcer les défenses plutôt qu'à les affaiblir. Les attaques par empoisonnement restent difficiles à mettre en œuvre en pratique, mais la compréhension du fait qu'un petit nombre d'échantillons peut avoir un impact étendu pourrait changer la façon dont les entreprises abordent la sécurité de l'IA dans les années à venir.

Conclusion

La conclusion essentielle de cette étude est que même les systèmes à grande échelle peuvent être sensibles à un petit nombre de fichiers soigneusement conçus. La taille en soi n'est pas un bouclier protecteur. Une hygiène des données rigoureuse, des inspections et un réentraînement ciblé restent essentiels pour maintenir la stabilité et la fiabilité des modèles d'IA.

Avec l'application généralisée de la technologie de l'IA, cette découverte sonne l'alarme pour l'ensemble de l'industrie, rappelant aux entreprises et aux instituts de recherche qu'ils doivent renforcer le contrôle de la sécurité de leurs données d'entraînement et établir des mécanismes de défense plus sophistiqués.