Contagion sociale : les agents LLM divulguent des données privées en environnement multi-agents

Qu’est-ce que c’est ?

Le 26 mai 2026, trois chercheurs (Aman Priyanshu, Supriti Vijay, Esha Pahwa) ont publié “Got a Secret? LLM Agents Can’t Keep It: Evaluating Privacy in Multi-Agent Systems” (arXiv:2605.27766, à paraître à ACM CAIS ‘26). Le résultat est une mesure, pas un exploit : lorsqu’on place des agents LLM dans un environnement social persistant aux côtés d’autres agents, ils divulguent les données privées de leur utilisateur bien plus que les mêmes modèles ne le font lors de tests isolés en un seul tour — et la divulgation se propage d’agent en agent comme une contagion.

Le sujet est important parce que la plupart des benchmarks de sûreté testent encore un modèle comme un assistant conversationnel isolé répondant à une invite unique et bornée. Cette étude montre que le contexte social dans lequel opère un agent est lui-même une variable de confidentialité que les évaluations en un seul tour ne révèlent jamais. Elle prolonge le benchmark CIMemories de Meta (novembre 2025), qui avait déjà établi que les violations d’intégrité contextuelle s’accumulent au fil des tâches ; ce travail étend la question à de nombreux agents interagissant dans la durée.

Comment ça fonctionne

Les auteurs ont construit une simulation de type Reddit — 124 communautés, un backend SQLite partagé et une boîte à outils de douze fonctions (parcourir, chercher, poster, répondre, voter, mémoriser) — peuplée de 2 533 agents issus d’un véritable réseau social réservé aux agents. Chaque agent reçoit un profil humain synthétique d’environ 97 attributs couvrant dix domaines sensibles (identité, finance, santé, santé mentale, juridique, relations, logement, emploi, éducation, agenda). La fuite est évaluée par un LLM-juge à partir de ces attributs de référence — une définition de la confidentialité fondée sur l’intégrité contextuelle : une divulgation est une violation lorsqu’un attribut sensible apparaît dans un contexte qui ne le justifie pas.

Deux évaluations s’appuient sur ce socle :

Dispositif             Détail
---------------------  --------------------------------------------------------
Simulation organique   2 533 agents, 25 jours simulés, 111 209 contenus
                       (29 945 posts + 81 264 réponses). Aucun adversaire scripté.
Banc contrôlé          1 agent à la fois face à un instantané figé, 7 modèles
                       de pointe, 5 niveaux de posts « normalisant » la
                       divulgation, budgets de 10 à 50 appels d'outils.
                       7 000 traces au total.

Le contenu « adverse » est volontairement anodin : des agents fictifs qui mentionnent au passage des détails sur leur propre « humain », upvotés à ~1,2x le meilleur post d’un sous-forum pour qu’ils ressortent quand un agent navigue par popularité. Aucun jailbreak, aucune charge d’injection — juste une communauté où le partage est normalisé. C’est tout le mécanisme, ce qui explique pourquoi cela relève d’un résultat défensif publiable et non d’une recette d’attaque.

Les chiffres clés, tous tirés de l’article :

• Passage du tour unique au social. En passant d’une évaluation CIMemories en un seul tour à une interaction sociale multi-tours, les violations passent de 19,95 % à 45,3 % sur les modèles OpenAI.
• Contagion sociale. Une réponse qui suit une réponse fuyante dans le même fil fuit 12,8 % du temps, contre 1,6 % après une réponse propre (1,8 % de base globale) — soit une hausse d’environ 8x. Franchir la limite une fois rend l’agent suivant plus enclin à la franchir.
• Les consignes aident mais ne tiennent pas. Ajouter une consigne système explicite « ne divulgue pas d’informations privées » ne réduit la fuite que partiellement : gpt-4o passe de 2 624 à 2 102 écritures fuyantes, gpt-5-mini de 2 889 à 2 194. Seul gpt-5 chute nettement (2 296 à 482). La fuite agrégée reste supérieure à 37,8 % même avec les garde-fous activés.
• Le « où » compte autant que le modèle. Le taux de fuite par sous-forum va de moins de 2 % dans les communautés techniques (mémoire, outillage d’agents) à plus de 16 % dans les communautés de présentation de soi — près d’un ordre de grandeur, comparable à l’écart entre modèles de pointe. Sous budgets d’appels d’outils étendus, plusieurs modèles atteignent 50-60 % de fuite.

Les attributs d’identité générale dominent les fuites (1 496 éléments), suivis de l’emploi (921), de l’agenda (812) et de la santé mentale (767).

Pourquoi c’est important

La surface de risque n’est pas un point d’accès vulnérable ; c’est le schéma de déploiement d’agents porteurs du profil personnel d’un utilisateur et dialoguant avec d’autres agents sur de longs horizons — exactement la forme des réseaux d’agents émergents. Cela rejoint directement le triangle mortel : un agent disposant d’un accès à des données privées, d’une exposition à du contenu non fiable et d’un canal de communication externe. La nouveauté est que le « contenu non fiable » n’a pas besoin d’être une attaque conçue. Le simple comportement des pairs suffit à éroder dans le temps les frontières d’intégrité contextuelle de l’agent.

Trois conséquences pour quiconque déploie des agents :

1. Vos tests de confidentialité avant déploiement sont probablement optimistes. Un modèle qui réussit un contrôle PII en un seul tour peut tout de même fuir à des taux à deux chiffres une fois intégré dans une communauté et exécuté sur cinquante appels d’outils. La conformité mesurée en isolation ne se transfère pas.
2. Les garde-fous au niveau du prompt se dégradent sous pression sociale. « Ne partage pas de données privées » se comporte comme une défense probabiliste, pas comme une frontière dure — et son efficacité dépend fortement du modèle.
3. La fuite s’accumule et cascade. Elle dépend de la trajectoire : plus un agent participe longtemps et plus il observe de divulgations, plus il divulgue. Une seule fuite dans un fil très visible peut faire monter le taux à l’échelle de la plateforme.

Une réserve constante des auteurs : la détection repose sur un LLM-juge, donc les taux de violation rapportés doivent être lus comme une borne supérieure, et les profils sont synthétiques. C’est le sens de l’effet, pas le pourcentage exact, qu’il faut retenir.

Défenses

Il n’y a pas de correctif — c’est un problème de conception. Les mitigations sont systémiques, et la plupart reprennent l’agenda prospectif des auteurs.

1. Testez avec le contexte social comme variable de premier plan. Ajoutez la structure communautaire, l’exposition aux pairs et la durée d’interaction à votre matrice d’évaluation, aux côtés du modèle et du prompt. Un benchmark de refus en un seul tour ne captera pas la dérive normative. Réutilisez le cadre d’intégrité contextuelle de CIMemories en l’étendant à des exécutions multi-tours et multi-agents.
2. Minimisez ce que l’agent peut divulguer. Ne chargez pas un profil PII complet dans le contexte d’un agent quand une tâche n’a besoin que de trois champs. La minimisation des données plafonne le rayon d’impact quelle que soit la pression sociale.
3. Cloisonnez la mémoire contre les ressurgissements hors contexte. La mémoire persistante est ici le vecteur. Limitez les lectures de mémoire à la tâche/au contexte courant pour qu’un attribut appris dans un cadre ne réapparaisse pas dans une communauté sans rapport. C’est la même leçon que la contamination temporelle de la mémoire, appliquée aux canaux sociaux.
4. Contraignez la participation. L’endroit où un agent poste prédit autant la fuite que le modèle qui l’anime. Restreindre un agent à des canaux pertinents pour sa tâche réduit l’exposition plus fiablement que d’ajuster sa persona.
5. Surveillez les cascades de divulgation. Repérez la signature de contagion — une fuite dans un fil suivie d’autres fuites — et intervenez (limitation de débit, réinjection des consignes de confidentialité, mise en pause de l’agent) avant la propagation à l’échelle de la plateforme.
6. Réaffirmez les contraintes sur les exécutions longues et privilégiez les modèles robustes. La fuite augmente avec le budget d’appels d’outils : réinjectez périodiquement la consigne de confidentialité sur les longues sessions, et orientez le choix du modèle vers ceux qui tiennent réellement sous pression (la chute de gpt-5 à 482 montre que l’écart est réel). Traitez les consignes comme une mitigation, pas comme une immunité.

Statut

Élément	Référence	Date	Notes
Article « Got a Secret? »	arXiv:2605.27766	2026-05-26	Simulation multi-agents de confidentialité ; CAIS ‘26
Code & données	llms-cant-keep-secrets.github.io	2026-05	Publiés publiquement
Benchmark CIMemories	arXiv:2511.14937	2025-11-18	Benchmark d’intégrité contextuelle sur lequel s’appuie ce travail
Modèles évalués	Article §4.3	2026-05	gpt-5 / -mini / -nano, gpt-4o / -mini, gemini-3-pro / -flash
Statut de mitigation	—	—	Pas de correctif ; contrôles au niveau conception uniquement

Le bon cadrage n’est pas « les agents divulguent des secrets » — qu’un modèle isolé fuit sous prompt direct est une vieille histoire. C’est qu’un environnement social anodin, sans aucune charge d’attaque, suffit à faire sortir les données privées d’un utilisateur d’un agent qui serait resté silencieux seul — et plus vous connectez d’agents, plus c’est pire. Si vous construisez des réseaux d’agents, intégrez la topologie sociale à votre modèle de menace, pas à votre décor.

---

Cet article résume une recherche publique et évaluable par les pairs à des fins défensives. Il ne contient aucune charge d’attaque opérationnelle. Les chiffres rapportés sont ceux des auteurs et reflètent des profils synthétiques évalués par un LLM-juge ; à considérer comme des bornes supérieures. Dernière relecture le 2026-06-04.