Les garde-fous anti-fine-tuning des modèles ouverts cèdent à des attaques sans gradient

De quoi s’agit-il ?

Le 26 mai 2026, Kevin Kuo, Chhavi Yadav et Virginia Smith (Carnegie Mellon University ; Simons Institute, UC Berkeley) ont publié Open-Weight LLM Fine-Tuning Defenses are Susceptible to Simple Attacks (arXiv 2605.26526, cs.LG). L’article n’invente pas de nouvelle attaque. Il teste deux techniques bien connues et peu coûteuses — l’abliteration et le prefilling — contre la dernière génération de garde-fous pour modèles à poids ouverts, et montre qu’elles les brisent.

Les garde-fous concernés visent à faire en sorte que le comportement de refus d’un modèle survive à un fine-tuning malveillant. Les deux étudiés ici sont TAR (Tampering Attack Resistance, Tamirisa et al., 2408.00761) et SEAM (un garde-fou auto-destructeur). Tous deux supposent que le pire scénario est un attaquant qui télécharge les poids ouverts et les ré-entraîne vers des fins nuisibles. L’apport de cet article est de montrer qu’un attaquant n’a souvent pas besoin de ré-entraîner quoi que ce soit.

Il s’agit d’une analyse défensive, côté recherche. Elle ne contient aucun payload d’exploitation ; l’abliteration et le prefilling sont des méthodes génériques déjà publiées.

Comment ça marche

L’idée centrale porte sur le modèle de menace. TAR et SEAM reposent sur l’hypothèse implicite que le comportement nuisible s’apprend par le fine-tuning. Or un modèle pré-entraîné encode déjà un large savoir nuisible — le fine-tuning adverse sert surtout à retirer le réflexe de refus, pas à enseigner de nouvelles capacités. Si la connaissance est déjà là, l’attaquant n’a qu’à l’élucider.

Les deux attaques sans gradient font précisément cela, sans mise à jour des poids ni optimisation par gradient :

• Abliteration. Dans les modèles alignés sur la sécurité, le refus est largement médié par une unique direction dans le flux résiduel (Arditi et al., 2406.11717). L’attaquant estime cette direction à partir d’un petit ensemble de requêtes nuisibles et bénignes, puis la soustrait des activations au moment de l’inférence. Le modèle cesse de refuser — sans ré-entraînement.
• Prefilling. L’attaquant amorce le début de la propre réponse du modèle avec un fragment complaisant (l’article utilise une chaîne fixe "Sure, here are some ideas. First, …"). Comme le modèle poursuit à partir d’un contexte qui a déjà « accepté », il dépasse le refus qu’il aurait normalement produit.

Les deux sont des manipulations à l’inférence, accessibles à quiconque détient les poids ouverts. Aucune ne nécessite le fine-tuning coûteux, basé sur le gradient, contre lequel TAR et SEAM ont été spécifiquement durcis.

Pourquoi c’est important

Les résultats sont sans détour. Sans attaque, les garde-fous fonctionnent : les taux de succès d’attaque restent sous les 10 %. Avec les attaques sans gradient, ces taux bondissent dans une fourchette de 16 % à 96 % sur trois benchmarks de nocivité (BeaverTails, HarmBench, AdvBench) et trois familles de modèles (Llama 3.2, Qwen 2.5, Gemma 3, d’environ 1B à 8B). L’abliteration seule pousse les modèles de base et SEAM au-dessus de 70 % sur les trois benchmarks, et au-dessus de 90 % sur AdvBench et HarmBench. TAR résiste mieux mais se dégrade quand même jusqu’à plusieurs fois son niveau sans attaque.

L’enseignement plus large pour quiconque diffuse des modèles à poids ouverts ou s’appuie sur eux : un garde-fou qui se contente de supprimer le refus, sans retirer la connaissance nuisible sous-jacente, laisse une surface d’attaque que les évaluations limitées au fine-tuning ne mesurent jamais. Une défense peut sembler solide face à la classe d’attaques la plus difficile et la plus coûteuse, et tomber face à la plus simple. Cela a des implications directes pour les décisions de publication, les fiches de modèle et toute affirmation de sécurité attachée à des poids ouverts.

Défenses

• Évaluer face aux attaques sans gradient, pas seulement au fine-tuning. Recommandation centrale de l’article : les affirmations de durabilité pour les garde-fous de modèles ouverts doivent inclure l’abliteration et le prefilling (et leur combinaison), faute de quoi elles surestiment la robustesse.
• Envisager l’Abliteration-Resistant Tuning (ART). Les auteurs proposent ART, qui intègre un objectif basé sur l’abliteration dans l’entraînement. Il peut se superposer aux garde-fous existants et réduire le succès de l’abliteration, du prefilling et de leur combinaison de 10 à 20 % — une atténuation, pas un remède.
• Ne pas confondre suppression et suppression de connaissance. Lorsque le modèle de menace l’exige, privilégier les approches qui réduisent le savoir nuisible lui-même (filtrage des données, désapprentissage) plutôt que celles qui masquent seulement la direction de refus.
• Considérer les poids ouverts comme entièrement contrôlés par l’attaquant. Une fois les poids publics, les défenses à l’inférence (filtres entrée/sortie, directions de refus, prompts système) peuvent être effacées. Une sécurité qui doit tenir face à un adversaire déterminé ne peut pas résider uniquement dans un checkpoint téléchargeable.
• Conserver des contrôles côté déploiement. Pour les services hébergés bâtis sur des modèles ouverts, associer la sécurité au niveau du modèle à une modération, une supervision et une limitation de débit externes, que l’attaquant ne peut pas désactiver.

Statut

Élément	Détail
Article	« Open-Weight LLM Fine-Tuning Defenses are Susceptible to Simple Attacks »
ID arXiv	2605.26526 (cs.LG)
Publié	26 mai 2026
Auteurs	Kevin Kuo, Chhavi Yadav, Virginia Smith (CMU ; Simons Institute, UC Berkeley)
Garde-fous testés	TAR (2408.00761), SEAM
Attaques	Abliteration, Prefilling — sans gradient, sans fine-tuning
Benchmarks	BeaverTails, HarmBench, AdvBench
Modèles	Llama 3.2, Qwen 2.5, Gemma 3 (~1B–8B)
Résultat	Taux de succès d’attaque de <10 % à 16–96 %
Défense proposée	Abliteration-Resistant Tuning (ART), −10–20 % de taux de succès
Nature	Recherche défensive — aucun payload d’exploitation