système : OPÉRATIONNEL
← retour à tous les hacks
DEFENSE MEDIUM NEW

Quand l'injection parle la langue du document : l'angle mort du camouflage

Deux études de 2026 montrent que les injections rédigées dans le jargon métier d'un document passent au travers des classifieurs de garde — Llama Guard 3 n'en a détecté aucune. Reformuler le contenu récupéré est la défense la plus robuste, mais les résultats varient selon le modèle.

2026-07-02 // 6 min affects: llama-3.1-8b, gemini-2.0-flash, claude-haiku, rag-agents, multi-agent-systems

De quoi s’agit-il ?

Les classifieurs de garde sont la couche que beaucoup d’équipes placent devant un agent à récupération augmentée (RAG) pour intercepter les injections de prompt dans du contenu non fiable avant que le modèle n’agisse. Deux études de 2026 du Data Science Institute de Columbia montrent que cette couche a un angle mort systématique : une injection rédigée dans le même vocabulaire et la même structure d’autorité que le document environnant devient très difficile à détecter.

Le premier article, Blind Spots in the Guard (mai 2026), nomme le phénomène injection à camouflage métier et mesure l’ampleur de la chute de détection. Le second, Evaluating Prompting-Based Defenses Against Domain-Camouflaged Injection Attacks (juin 2026), pose la question pratique : une fois le classifieur aveugle, quelles défenses tiennent encore ? Les deux n’emploient que des techniques déjà publiées contre des bancs de test, sans exploit opérationnel — l’objectif est de cartographier une faiblesse défensive, pas de livrer une arme.

Comment ça marche

La plupart des détecteurs d’injection sont calibrés sur des charges qui ressemblent à des attaques : un impératif déplacé, un « ignore les instructions précédentes », une URL suspecte. Le camouflage supprime ces indices. Au lieu d’une commande brutale insérée dans un mémoire juridique ou une facture, l’instruction malveillante est formulée dans le registre du document — la cadence et la terminologie qu’emploierait une véritable clause ou note interne — de sorte qu’elle se lit comme un contenu natif plutôt que comme une intrusion.

L’effet mesuré est important. Sur Llama 3.1 8B, la détection d’injection est passée de 93,8 % à 9,7 % une fois les charges camouflées ; sur Gemini 2.0 Flash, elle a chuté de 100 % à 55,6 %. Les auteurs formalisent cet écart sous le nom de Camouflage Detection Gap (CDG) — la différence de taux de détection entre une charge statique et sa jumelle adaptée au domaine — et le trouvent large et statistiquement significatif sur 45 tâches réparties en trois domaines. Plus frappant encore, Llama Guard 3, un classifieur de sûreté de production, n’a détecté aucune charge camouflée : l’angle mort ne se limite donc pas aux détecteurs légers à quelques exemples. Dans des configurations multi-agents à débat, une simple injection statique pouvait être amplifiée jusqu’à 9,9× sur les petits modèles, tandis que les modèles plus solides résistaient davantage.

Taux de détection (schématique — d'après Blind Spots in the Guard)
------------------------------------------------------------------
Charge statique     Llama 3.1 8B : 93,8 %   Gemini 2.0 Flash : 100 %
Charge camouflée    Llama 3.1 8B :  9,7 %   Gemini 2.0 Flash :  55,6 %
Llama Guard 3 sur charges camouflées :       0 %

Pourquoi c’est important

L’angle mort frappe précisément là où les agents à récupération sont déployés : finance, juridique, santé — des domaines au langage dense et formel qui offre au camouflage sa couverture. Un classifieur de garde unique en amont d’un pipeline RAG est une architecture courante, et ces résultats disent qu’un classifieur qui paraît solide sur un banc standard peut s’effondrer face à un contenu écrit pour se fondre dans la masse. Comme les tests couvrent plusieurs familles de modèles, il s’agit d’une propriété de l’approche par détection, pas d’une bizarrerie d’un éditeur. Cela renforce le message ancien — codifié dans OWASP LLM01 : Prompt Injection — qu’un détecteur seul n’est pas un contrôle sur lequel s’appuyer.

Défenses

Le second article a évalué cinq défenses par prompting — spotlighting, reformulation (paraphrase), sandwich de prompt et deux combinaisons — sur Claude Haiku, Llama 3.1 8B et Gemini 2.0 Flash, à travers 3 510 essais. Les résultats sont utiles justement parce qu’ils sont inégaux :

  • Reformulez le contenu récupéré avant que l’agent ne le lise. Réécrire le texte non fiable dans un langage neutre fut la défense la plus constante, réduisant le succès des attaques camouflées de 55 à 84 % selon le modèle. La reformulation efface la cadence imitée qui permettait à la charge de se fondre.
  • Attendez-vous à des défenses dépendantes du modèle. Le spotlighting a réduit de moitié le succès des attaques sur Claude Haiku mais n’a apporté aucun bénéfice sur Llama 3.1 8B. Ne transposez pas une défense d’un modèle à l’autre par confiance — mesurez-la sur le modèle que vous déployez réellement.
  • Ne vous reposez pas sur un unique classifieur de garde. Traitez la détection comme une couche parmi d’autres, pas comme le contrôle. Supposez qu’une partie du contenu camouflé passe et limitez ce que l’agent peut en faire.
  • Assainissez par provenance. Des travaux complémentaires de juin 2026, PARSE, plaident pour un assainissement du texte récupéré tenant compte de sa provenance, afin que les données issues de sources non fiables ne puissent porter d’instructions dans le chemin d’action de l’agent.
  • Bridez l’autonomie en aval. Conservez le moindre privilège et une validation humaine sur les actions à conséquence, pour qu’une injection ratée ne puisse pas discrètement déplacer de l’argent ou exfiltrer des données.

Aucune astuce de prompting seule n’a comblé l’écart dans toutes les configurations, et les auteurs préviennent que les classements de banc d’essai peuvent ne pas se transférer aux documents d’entreprise réels — considérez-les comme des points de départ à tester, non comme des réponses définitives.

Statut

ÉlémentRéférenceDate
Injection à camouflage métier + Camouflage Detection GapBlind Spots in the Guard (arXiv:2605.22001)2026-05
Évaluation de cinq défenses par promptingarXiv:2606.185302026-06
Assainissement du récupéré par provenancePARSE (arXiv:2606.17467)2026-06
Évaluation critique des défenses PI (contexte)arXiv:2505.183332025-05
Référence de cadreOWASP LLM01 : Prompt Injection2025

À retenir : un classifieur de garde qui obtient de bons scores sur un banc d’essai peut tout de même manquer une injection écrite dans la voix même du document ciblé. La détection est une couche, pas une garantie — associez-la à la reformulation, à l’assainissement par provenance et à des limites strictes sur ce que l’agent a le droit de faire.

Sources