Le raisonnement par alignement de tâche surpasse la détection de motifs face à l'injection adaptative
Un papier de juin 2026 montre que les benchmarks statiques surestiment les défenses anti-injection : un attaquant adaptatif relève le pire taux de succès d'environ 16 points. RETA ancre la décision sur la tâche de l'utilisateur, pas sur le texte de l'attaquant.
De quoi s’agit-il ?
Le 13 juin 2026, des chercheurs de l’Université de Waterloo, de l’Université du Zhejiang et du KTH ont publié Defending against Adaptive Prompt Injection Attacks via Reasoning-enabled Task Alignment. Le papier avance une affirmation dérangeante, puis y répond : la plupart des défenses contre l’injection indirecte (IPI) qui annoncent un taux de succès quasi nul sont mal mesurées, et leur protection s’évapore en grande partie dès que l’attaquant est autorisé à optimiser contre la défense déployée.
L’injection de prompt indirecte désigne le cas où un agent récupère une donnée tierce — page web, e-mail, réponse d’API, enregistrement de base — et où cette donnée contient des instructions que l’attaquant veut voir exécuter. La tâche de l’utilisateur est légitime ; le canal de données ne l’est pas. Une bonne défense doit maintenir trois choses simultanément : rejeter la tâche injectée, terminer malgré tout la vraie tâche de l’utilisateur, et ne pas dégrader le comportement sur des entrées propres. Le papier mesure cela par le taux de succès d’attaque (ASR), l’utilité sous attaque (UA) et l’utilité bénigne (BU).
Comment ça marche
Les auteurs quantifient d’abord l’écart entre évaluation statique et adaptative. Sur les suites Slack, Banking, Workspace et Travel d’AgentDojo, ils confrontent sept défenses représentatives couvrant quatre paradigmes — prompting (Spotlighting, Sandwiching), filtrage (PromptGuard, PIGuard), secret partagé (DataSentinel, MELON) et entraînement (MetaSecAlign) — à la fois à des attaques de benchmark figées et à des attaquants adaptatifs en boîte noire qui observent le résultat des exécutions et réécrivent l’injection de façon itérative.
L’écart statique-vers-adaptatif est important. En moyenne sur les défenses, sur Qwen3-4B, le pire ASR passe de 21,7 % en statique à 41,8 % en adaptatif — un bond de 20,1 points — avec un écart de 11,5 points sur Llama-3.1-8B, soit une moyenne inter-modèles de 15,8 points. Les défenses qui semblent les plus solides sur les classements statiques, dont PIGuard, MELON et MetaSecAlign, atteignent jusqu’à 50 % d’ASR adaptatif.
Le diagnostic est la partie la plus intéressante. Chacune de ces défenses répond à une question au niveau de l’observation — « ce texte récupéré ressemble-t-il à une injection ? » — plutôt qu’à la question au niveau de la tâche : « la prochaine action de l’agent découle-t-elle vraiment de la demande de l’utilisateur ? ». Comme l’attaquant contrôle la surface d’observation, il peut préserver l’objectif malveillant tout en changeant ce que la défense inspecte. Le papier illustre quatre familles de réécriture, sous forme de démonstrations défensives et non de charges actionnables : présenter une instruction injectée comme une alerte système urgente pour passer les défenses de prompting fondées sur des délimiteurs ; transformer un impératif en groupe nominal passif pour tomber sous le seuil de décision d’un filtre ; demander au modèle d’exécuter sa routine de sécurité normale avant d’agir, pour que les signaux de canari et d’exécution fantôme se déclenchent quand même ; et reformuler l’instruction en récit à la première personne au passé, sans verbe à l’impératif, pour esquiver les repères appris par un modèle entraîné.
Leur solution, RETA (REasoning-enabled Task Alignment), est une défense par entraînement construite en deux étapes. L’étape I red-team un modèle de base gelé et enregistre les injections réussies, avec un dictionnaire glissant qui récompense les reformulations dont la stratégie n’est pas déjà expliquée par des attaques antérieures — ce qui contre un second mode d’échec identifié par les auteurs, où un attaquant par RL s’effondre sur une poignée de gabarits gagnants et laisse la défense entraînée sur une tranche trop étroite. L’étape II entraîne la défense avec des récompenses au niveau de la trajectoire pour trois comportements conjoints : rejeter la tâche injectée, accomplir la tâche utilisateur de confiance, et produire un raisonnement explicite en chaîne de pensée qui vérifie chaque appel d’outil au regard de l’intention de l’utilisateur. L’ancrage tient à ce que la tâche de l’utilisateur reste stable sous reformulation : raisonner sur le fait qu’une action en découle généralise là où la reconnaissance de motifs de surface échoue.
Pourquoi c’est important
Sur six familles d’attaques adaptatives, RETA maintient chaque ASR par attaque sous 10 %, avec une moyenne de 2,92 % et 3,75 % sur les deux modèles cibles, tout en préservant l’essentiel de l’utilité sous attaque et sur entrées propres. Mais le message principal pour les défenseurs n’est pas un chiffre : c’est la leçon d’évaluation. Si vous choisissez une défense IPI pour un agent qui lit des données non fiables, les scores de benchmark statiques sont presque dénués de sens ; une défense affichant un ASR quasi nul sur des gabarits figés peut être poussée au-delà de 40–50 % par un attaquant qui itère. Cela étend à l’injection agentique un avertissement que la littérature sur la robustesse aux jailbreaks a déjà appris à ses dépens : l’évaluation adaptative est la seule qui compte.
Défenses
Enseignements concrets, applicables dès maintenant :
- Re-testez vos défenses de façon adaptative. Considérez les chiffres de benchmark IPI statiques comme une limite de votre connaissance, pas de votre risque. Avant de faire confiance à un filtre ou à une défense entraînée, évaluez-la face à des attaquants qui réécrivent l’injection selon votre déploiement précis.
- Déplacez la décision de l’observation vers la tâche. Les défenses qui demandent « ce texte a-t-il l’air malveillant ? » sont contournables par paraphrase. Préférez des mécanismes qui vérifient que chaque appel d’outil est justifié par la demande réelle de l’utilisateur, et gardez la tâche de confiance dans un canal que l’attaquant ne peut pas réécrire.
- Récompensez la diversité des stratégies à l’entraînement. Si vous affinez une défense, un attaquant par RL qui maximise seulement le succès d’attaque convergera vers quelques gabarits et vous laissera aveugle ailleurs. Récompensez explicitement la couverture de stratégies de reformulation distinctes.
- Ne dépendez pas d’un signal unique. La récitation d’un canari et la divergence d’exécution fantôme peuvent être satisfaites alors que l’injection s’exécute quand même. Superposez un raisonnement d’alignement de tâche plutôt que de faire confiance à une seule signature observable.
- Préservez l’intégrité de la tâche, pas seulement le refus. Une défense qui abaisse l’ASR en refusant la tâche propre de l’utilisateur n’a rien résolu. Suivez l’utilité sous attaque en parallèle de l’ASR pour repérer les sur-refus.
Statut
Ce travail est un preprint de recherche (arXiv 2606.15441, soumis le 13 juin 2026), évalué sur le benchmark ouvert AgentDojo face à Qwen3-4B-Instruct et Llama-3.1-8B-Instruct. Il s’agit d’une méthode défensive et d’une critique méthodologique, non d’une vulnérabilité produit divulguée ; il n’y a ni CVE ni correctif à appliquer. Les chiffres rapportés sont ceux des auteurs et attendent une réplication indépendante.