système : OPÉRATIONNEL
← retour à tous les hacks
DEFENSE MEDIUM NEW

RAG prouvablement robuste : agréger les passages pour résister à l'empoisonnement

Un article de mai 2026 propose PRA-RAG, une défense d'agrégation de la récupération avec des bornes théoriques de robustesse qui abaisse le taux de réussite de l'empoisonnement jusqu'à 1 % en conservant 71 % de précision.

2026-07-08 // 6 min affects: rag-systems, llm-rag-pipelines

De quoi s’agit-il ?

Le 8 mai 2026, Xue Tan et ses collègues ont publié PRA-RAG: Provably Robust Aggregation in Retrieval-Augmented Generation against Retrieval Corruption sur arXiv (2607.00012, cs.IR/cs.AI). L’article s’attaque à un problème qui hante la génération augmentée par récupération (RAG) depuis son adoption : un attaquant capable d’insérer ne serait-ce que quelques passages malveillants dans le corpus interrogé peut orienter la réponse du modèle. PRA-RAG est une défense — un algorithme d’agrégation de la récupération assorti de bornes théoriques sur l’influence maximale d’un contenu empoisonné, là où l’usage se contente d’ordinaire d’une garantie empirique du type « nous avons testé et cela semble aider ».

L’empoisonnement de corpus est une classe d’attaque bien documentée (voir nos articles sur l’empoisonnement qui survit au re-ranking et l’empoisonnement silencieux de corpus). La nouveauté ici est une défense qui quantifie son propre pire cas.

Comment ça marche

Un pipeline RAG standard récupère les k passages les plus similaires à une requête et les concatène dans le contexte du modèle. Cette conception présente une faiblesse évidente : la récupération est un concours de similarité, et un attaquant qui rédige un passage calibré pour une requête cible peut décrocher une place dans le top-k. Une fois dans le contexte, le passage empoisonné entre en concurrence avec les passages légitimes pour capter l’attention du modèle. Les auteurs relèvent que les défenses existantes « manquent de garanties théoriques de robustesse et se comportent de façon peu fiable lorsque le modèle a une connaissance limitée du contenu récupéré » — c’est-à-dire précisément quand le RAG remplit sa fonction : fournir des faits que le modèle ne possède pas déjà.

PRA-RAG modifie l’étape d’agrégation plutôt que l’étape de récupération. Au lieu de faire confiance à un unique top-k, il échantillonne plusieurs combinaisons de passages récupérés et observe où chaque combinaison se situe dans l’espace des plongements (embeddings). Comme un petit nombre de passages empoisonnés ne peut fausser qu’une fraction bornée de ces combinaisons, les passages authentiques forment un amas dense tandis que les valeurs aberrantes empoisonnées se dispersent. PRA-RAG exploite cette structure géométrique pour identifier un sous-ensemble robuste et en dérive une représentation agrégée stable. De cette construction, les auteurs tirent une borne sur l’impact maximal du contenu empoisonné et une mesure quantitative de la robustesse d’une configuration RAG donnée — le nombre de passages qu’un adversaire devrait contrôler pour infléchir la réponse.

Les résultats rapportés sont solides : sur plusieurs benchmarks et architectures RAG, PRA-RAG abaisse le taux de réussite de l’attaque jusqu’à 1 % tout en maintenant une précision sur tâche propre de 71 %, surpassant des défenses représentatives de l’état de l’art. Comme toujours avec un article isolé, considérez ces chiffres comme les mesures des auteurs dans leur cadre d’évaluation, non comme une garantie universelle.

Pourquoi c’est important

Le RAG est devenu la façon par défaut de donner à un LLM l’accès à des connaissances privées ou récentes, ce qui fait du corpus de récupération une surface d’attaque dans tout déploiement sérieux : bases de connaissances support, wikis internes, historiques de tickets, et tout pipeline ingérant des documents qu’un utilisateur ou un tiers peut influencer. Lorsque la récupération alimente un agent capable d’agir, un passage empoisonné cesse d’être une simple mauvaise réponse pour devenir un point d’ancrage — l’un des trois volets de la triade létale. La plupart des défenses déployées sont des filtres heuristiques ou des ajustements de re-ranking, sans aucun moyen de dire quelle quantité d’empoisonnement elles absorbent réellement. Une défense qui produit un budget de robustesse chiffré permet à une équipe sécurité de raisonner sur le corpus comme sur n’importe quelle autre frontière de confiance : combien de documents malveillants faudrait-il pour faire basculer ce système, et ce nombre est-il supérieur à l’accès en écriture plausible d’un attaquant ?

Défenses

PRA-RAG est lui-même la mitigation phare, mais sa conception suggère des contrôles applicables dès maintenant. Traitez l’agrégation robuste comme une couche : ne laissez pas un unique passage récupéré décider d’une réponse — échantillonnez et recoupez plusieurs sous-ensembles de récupération et privilégiez le consensus, l’intuition que PRA-RAG formalise. Conservez l’état d’esprit de la robustesse certifiée en vous demandant, pour chaque surface RAG, combien de documents empoisonnés seraient nécessaires pour changer les sorties, et faites monter ce nombre par l’hygiène du corpus : authentifiez la provenance des documents, restreignez qui peut écrire dans le corpus, et mettez en quarantaine le contenu fraîchement ingéré ou d’origine externe jusqu’à revue. Couplez l’agrégation aux défenses déjà traitées ici — la récupération hybride résistante à l’empoisonnement et le traçage de l’influence des tokens — pour qu’un passage passé au travers de la récupération doive encore survivre à l’attribution au moment de la génération. Enfin, gardez l’agent en aval au moindre privilège : une récupération robuste réduit le risque d’une réponse empoisonnée, mais une réponse compromise ne devrait jamais pouvoir déclencher une action irréversible sans un humain ou une seconde vérification.

Statut

PRA-RAG est une divulgation de recherche (arXiv:2607.00012, soumise le 8 mai 2026), publiée sous licence CC BY 4.0, avec analyse théorique et évaluation sur benchmarks plutôt qu’une quelconque attaque armée. C’est une contribution défensive : aucun exploit à corriger, aucun bulletin produit associé. Les équipes exploitant du RAG devraient la lire comme un modèle pour mesurer la robustesse d’un corpus, et comme un rappel que le magasin de récupération mérite les mêmes contrôles d’intégrité que toute autre entrée qu’on demande à un LLM de croire. Pour un panorama plus large des attaques qu’elle contre, le cadre des auteurs rejoint la taxonomie 2026 de la sécurité du RAG.

Sources