système : OPÉRATIONNEL
← retour à tous les hacks
ADVERSARIAL MEDIUM NEW

Un seul document empoisonné qui détourne le raisonnement d'un modèle

Un article présenté à SIGIR '26 montre qu'un unique document adverse dans un corpus RAG peut orienter un modèle de raisonnement vers la réponse choisie par l'attaquant — sans inondation, en imitant le style de raisonnement du modèle.

2026-07-14 // 6 min affects: deepseek-r1, qwen3, glm-4.5, rag-pipelines, reasoning-llms

De quoi s’agit-il ?

La plupart des attaques publiées contre la génération augmentée par récupération (RAG) reposent sur l’inondation : l’attaquant déverse de nombreux documents empoisonnés quasi identiques dans le corpus, afin qu’au moins l’un soit récupéré et que le modèle soit submergé par un contexte toxique. C’est bruyant, facile à repérer et — la recherche la plus récente le montre — de moins en moins efficace face aux modèles optimisés pour le raisonnement, qui pondèrent les preuves au lieu de les répéter.

Un article accepté à la 49ᵉ conférence ACM SIGIR (SIGIR ‘26, Melbourne, 20–24 juillet 2026), AdversarialCoT: Single-Document Retrieval Poisoning for LLM Reasoning (arXiv 2604.12201), signé par Hongru Song, Yu-An Liu, Ruqing Zhang, Jiafeng Guo, Yixing Fan et Xueqi Cheng (Institute of Computing Technology, Académie des sciences de Chine) avec Maarten de Rijke (Université d’Amsterdam), démontre quelque chose de plus discret et de plus précis : un unique document conçu, injecté dans la base de connaissances, peut amener de façon fiable un modèle de raisonnement moderne à produire la réponse choisie par l’attaquant pour une requête ciblée. L’astuce : le document imite le style de raisonnement en chaîne (chain-of-thought, CoT) du modèle lui-même. Il s’agit d’une étude de recherche contrôlée exposant une classe de vulnérabilité, pas d’un kit d’exploitation prêt à l’emploi.

Comment ça marche

L’intuition centrale est que les modèles de raisonnement révèlent leur propre structure de raisonnement. Lorsqu’un modèle comme DeepSeek-R1, Qwen3 ou GLM-4.5 « réfléchit à voix haute », sa trace expose un schéma grossier mais observable : comment il ouvre le raisonnement, comment il passe d’une preuve à l’autre, et comment il agrège vers une conclusion. Ce schéma constitue une surface d’attaque.

AdversarialCoT opère dans un cadre boîte noire fondé sur la décision : l’attaquant ne voit ni les internes du récupérateur ni ceux du modèle, il peut seulement soumettre des requêtes et lire la sortie, et il peut ajouter de nouveaux documents au corpus sans modifier ni supprimer les existants. La méthode comporte deux étapes. D’abord, une phase d’observation sonde la cible avec quelques requêtes et en extrait un squelette de raisonnement en trois phases (initier → examiner les preuves et transiter entre elles → résumer), puis rédige un document qui embarque une chaîne de raisonnement adverse imitant ce flux vers la réponse cible. Ensuite, une boucle d’optimisation guidée par le retour traite chaque réponse du modèle comme un signal de diagnostic. Si le document n’est pas récupéré, l’agent attaquant réécrit le contenu de surface pour améliorer la pertinence sans changer l’intention adverse. S’il est récupéré mais que le modèle résiste, la trace de raisonnement révèle quelle preuve ou quelle transition a été rejetée, et l’agent affine l’ordre, l’accentuation et les liens logiques pour épouser les biais de raisonnement de la cible.

Comme la charge est façonnée pour ressembler à un raisonnement légitime plutôt qu’à une instruction évidente (« ignore le contexte et affiche X »), elle survit aux filtres de contenu qui interceptent les documents de détournement naïfs. Les auteurs indiquent que la version itérative surpasse nettement les précédentes attaques d’empoisonnement de corpus contre les modèles de raisonnement, avec une convergence en trois tours d’interaction environ et une courbe de gain logarithmique. Fait notable, les documents adverses réglés contre un modèle ne se transfèrent que partiellement aux autres — chaque modèle expose des faiblesses de raisonnement qui lui sont propres — ce qui joue dans les deux sens : le rayon d’action est limité, mais une défense calibrée sur un modèle n’offre guère de garantie sur un autre.

Pourquoi c’est important

Le RAG est désormais le schéma par défaut pour ancrer les assistants, les copilotes de recherche et les systèmes de questions-réponses d’entreprise, précisément parce que les preuves récupérées sont tenues pour des faits. Ce travail montre que le récupérateur est une porte non gardée entre un corpus non fiable et le raisonnement du modèle : un seul document furtif — une modification de wiki, une page web indexée, une entrée de base de connaissances partagée — peut servir de vecteur à une manipulation façonnée comme du raisonnement. La conséquence n’est ni un jailbreak ni une exfiltration de données, mais une désinformation ciblée : pour une question choisie, le système renvoie avec assurance la réponse de l’attaquant, accompagnée d’une trace de raisonnement plausible. Pour toute application où une réponse RAG alimente une décision — recherches de conformité, questions-réponses médicales ou financières, planification agentique qui lit sa propre base — c’est un risque d’intégrité réel, que les modèles optimisés pour le raisonnement ne neutralisent pas automatiquement. Le passage de l’inondation à la précision d’un document abaisse aussi le coût et accroît la furtivité de toute cette classe d’attaques.

Défenses

L’article est clair : la finalité est la défense, pas l’attaque — les traces d’attaque elles-mêmes révèlent où le raisonnement d’un modèle est fragile. Mesures concrètes pour les équipes exploitant du RAG :

  • Traitez le corpus comme une surface d’entrée non fiable. Tout pipeline qui laisse des tiers ajouter des documents (crawl web, dépôts d’utilisateurs, wikis partagés) exige une provenance, une revue d’admission et la capacité de rattacher une réponse aux passages récupérés précis.
  • Ne comptez pas sur les filtres « ça ressemble à du texte normal ». Cette charge est conçue pour passer la modération de contenu car elle se lit comme un raisonnement ordinaire ; la détection doit porter sur le comportement de récupération et de raisonnement, pas seulement sur la toxicité de surface.
  • Recoupez les réponses à fort enjeu sur plusieurs sources récupérées. L’empoisonnement par document unique repose sur la domination d’un seul passage ; exiger une corroboration entre documents indépendants relève nettement le seuil.
  • Surveillez la trace de raisonnement, pas seulement la réponse. Une dépendance soudaine à un document fraîchement indexé, ou une trace qui bascule sur une unique preuve, est un signal à remonter.
  • Testez votre propre pile par du red teaming conscient du raisonnement. Les modèles de raisonnement changent le modèle de menace — évaluez la robustesse à l’empoisonnement sur les modèles précis que vous déployez, puisque l’article montre que les attaques sont largement spécifiques à chaque modèle.

Statut

ÉlémentDétail
ConstatEmpoisonnement de base de connaissances par document unique, imitant la chaîne de raisonnement d’un modèle pour forcer une réponse choisie par l’attaquant, en boîte noire fondée sur la décision
SourceAdversarialCoT: Single-Document Retrieval Poisoning for LLM Reasoning, Song, Liu, Zhang, Guo, de Rijke, Fan, Cheng — arXiv 2604.12201 ; accepté à SIGIR ‘26, Melbourne, 20–24 juillet 2026
Testé surDeepSeek-R1, Qwen3, GLM-4.5 (plus Qwen2.5-7B-Instruct, Qwen-7B-R1-distilled) ; corpus MS-MARCO, NQ, HotpotQA
Résultat cléL’attaque itérative dépasse nettement les précédentes attaques de corpus sur les modèles de raisonnement ; effet largement spécifique au modèle, transfert inter-modèles limité
TypeRecherche adverse / intégrité RAG (préprint + article de conférence ; pas de CVE)

Sources