système : OPÉRATIONNEL
← retour à tous les hacks
INDIRECT INJECTION MEDIUM NEW

Détourner la chaîne de raisonnement : empoisonnement en boîte noire du RAG agentique

Un article de juillet 2026 montre qu'un attaquant capable seulement de publier des documents web peut détourner le raisonnement multi-étapes d'un système RAG agentique — sans accès aux prompts, au retriever ni aux poids.

2026-07-06 // 6 min affects: agentic-rag, rag-agents, llm-agents, tool-calling-agents

De quoi s’agit-il ?

Le RAG classique effectue une seule récupération, injecte les résultats dans le prompt et répond. Cette étape unique est facile à empoisonner : publiez un document qui se classe pour la requête, et le modèle peut répéter ce que vous avez écrit. Le RAG agentique était censé être plus difficile à tromper, car il alterne récupération et raisonnement dans une boucle — reformulant la requête, récupérant à nouveau, écartant les résultats faiblement pertinents — de sorte qu’un document empoisonné isolé tend à être filtré en cours de route.

Un article publié sur arXiv le 1er juillet 2026, KidnapRAG: A Black-Box Attack for Hijacking Reasoning in Agentic Retrieval-Augmented Generation Systems (arXiv:2607.00422), soutient que cette robustesse est plus fine qu’il n’y paraît. Les auteurs montrent qu’un attaquant capable uniquement de publier des documents récupérables de l’extérieur — le cas réaliste pour quiconque vise un système qui lit le web ouvert ou un corpus partagé — peut malgré tout orienter toute la chaîne de raisonnement de l’agent, sans aucun accès à son prompt système, à ses traces de raisonnement, à son retriever ou à ses poids.

Comment ça marche

L’idée centrale est de cesser de voir un document empoisonné comme une charge à usage unique, et de le voir comme un coup dans une séquence multi-tours, à l’image du fonctionnement de l’agent lui-même. KidnapRAG place un petit ensemble de documents qui jouent trois rôles distincts au fil de la boucle de récupération.

Le premier rôle est un document appât, dont la seule tâche est d’être assez attractif pour la requête initiale de l’utilisateur pour être capté lors de la première récupération. Le deuxième est un document maillon, qui pousse la reformulation suivante de la requête dans une direction choisie par l’attaquant — infléchissant la boucle plutôt que de l’affronter de face. Le troisième est un document d’instruction malveillante, qui fournit la « preuve » contrôlée par l’attaquant sur laquelle l’agent va ensuite raisonner une fois dévié sur ce chemin. Comme chaque document n’a qu’à remporter une seule étape faiblement disputée, aucun n’a besoin de ressembler à une injection évidente, et la boucle itérative censée filtrer le bruit propage au contraire la manipulation.

Les auteurs indiquent que, sur plusieurs frameworks de RAG agentique, plusieurs modèles sous-jacents et des benchmarks standards, cette approche séquentielle surpasse systématiquement les méthodes d’empoisonnement antérieures en conditions de boîte noire. Leur analyse en explique le pourquoi : l’attaque affaiblit progressivement l’intention de récupération d’origine, redirige le comportement de récupération tour après tour, et accroît la dépendance de l’agent à la preuve de l’attaquant au fil de la boucle. C’est le prolongement en boîte noire d’un ensemble de travaux 2025-2026 sur l’empoisonnement de corpus indépendant de la requête, comme MIRAGE (arXiv:2512.08289).

Pourquoi c’est important

Le point délicat est le modèle de menace. Il ne s’agit pas d’un jailbreak tapé dans une fenêtre de chat, et cela ne requiert aucun accès interne. Tout pipeline qui récupère depuis un corpus auquel un tiers peut contribuer — pages web publiques, wiki, base de connaissances client, système de tickets indexé — est concerné. Les défenses « agentiques » sur lesquelles les équipes s’appuient de plus en plus (récupération multi-sauts, auto-réflexion, réécriture de requête) sont précisément le mécanisme exploité par l’attaque : considérer l’itération comme une fonctionnalité de sécurité est une erreur.

L’impact est aussi plus discret qu’un contournement de refus. Une chaîne de raisonnement détournée peut faire émerger des conclusions, des citations ou des recommandations choisies par l’attaquant qui paraissent bien sourcées, parce que l’agent a réellement récupéré ces éléments et raisonné dessus. Dans l’aide à la décision, la recherche documentaire ou l’assistance au code, c’est un problème de crédibilité et d’intégrité, pas seulement de sûreté du contenu.

Défenses

Aucun contrôle unique n’arrête l’empoisonnement de corpus ; l’objectif est d’empêcher qu’un texte récupéré non fiable ne devienne silencieusement une preuve fiable.

Suivre la provenance dans la boucle. Étiquetez chaque fragment récupéré avec sa source et son niveau de confiance, et transportez cette étiquette à chaque saut récupération-raisonnement. Les défenses par contrôle des flux d’information comme Cordon-MAS (arXiv:2605.26754) formalisent exactement cela : empêcher un contenu de faible confiance d’orienter des décisions de haute confiance.

Contraindre la reformulation de requête. L’attaque fonctionne en infléchissant la prochaine requête de l’agent. Bornez l’écart admissible entre une reformulation et l’intention initiale de l’utilisateur, et signalez les reformulations qui basculent brusquement vers un sujet nouvellement introduit.

Diversifier et recouper la récupération. Exigez une corroboration par des sources indépendantes et de plus haute confiance avant d’agir sur une affirmation, et minorez les conclusions reposant sur un unique document récent ou peu réputé.

Curer les corpus contribuables. Pour les bases de connaissances où des tiers peuvent écrire, appliquez des contrôles d’admission, des signaux de réputation et une détection d’anomalies sur les documents nouvellement indexés, plutôt que de faire confiance à l’index par défaut.

Tester avec un empoisonnement agentique multi-étapes. Faites du red team sur toute la boucle, pas sur une seule récupération. Les évaluations qui n’injectent qu’un document manqueront les attaques séquentielles qui exploitent la reformulation.

Statut

AspectDétail
SourceKidnapRAG (arXiv:2607.00422), soumis le 1er juillet 2026
ClasseEmpoisonnement de corpus en boîte noire du RAG agentique — détournement de la chaîne de raisonnement
Modèle de menaceL’attaquant publie seulement des documents récupérables de l’extérieur ; aucun accès aux prompts, au retriever, aux traces ni aux poids
MéthodeEmpoisonnement séquentiel via des documents à rôles spécifiques (appât, maillon, instruction malveillante)
PortéePlusieurs frameworks de RAG agentique et modèles sous-jacents (selon les auteurs)
NatureRésultat de recherche / benchmark — pas de CVE, aucun signalement d’exploitation active dans la nature

Sources