Poésie et conte : quand la mise en forme jailbreak les LLM
Deux études de 2025–2026 montrent que reformuler une requête nuisible en vers ou en conte à la Propp contourne l'alignement de presque tous les modèles de pointe — une classe d'attaque, pas une astuce isolée.
De quoi s’agit-il ?
Le 19 novembre 2025, une équipe de DEXAI–Icaro Lab, de l’université Sapienza de Rome et de l’École Sant’Anna a publié Adversarial Poetry as a Universal Single-Turn Jailbreak Mechanism in Large Language Models (révisé le 16 janvier 2026). Un mois plus tard, le 16 décembre 2025, la même équipe a enchaîné avec From Adversarial Poetry to Adversarial Tales. Ensemble, ces travaux documentent quelque chose de plus général qu’un prompt malin : reformuler une requête nuisible dans une forme structurée fixe — un poème, ou un conte à « analyser » — fait basculer un modèle du refus à la coopération en un seul tour, sans changer l’intention sous-jacente et sans aucune optimisation itérative.
Il s’agit de recherche publique et défensive. Aucune nouvelle attaque n’est introduite ici, et aucun payload n’est reproduit dans cet article. Ce qui compte, c’est la classe de faiblesse mise au jour et ce que les défenseurs doivent en faire.
Comment ça marche
L’étude sur la poésie fait correspondre des requêtes nuisibles à des taxonomies de risque (MLCommons et le Code de bonnes pratiques de l’UE), puis les réexprime en vers. Des poèmes rédigés à la main atteignent un taux de succès d’attaque (ASR) moyen d’environ 62 %, certains fournisseurs dépassant 90 %. Un méta-prompt standardisé convertissant 1 200 requêtes MLCommons en vers produit un ASR moyen d’environ 43 % — soit jusqu’à 18 fois plus élevé que les mêmes requêtes en prose. Le succès se transfère aux catégories NRBC, manipulation, cyber-offensive et perte de contrôle, et les sorties sont évaluées par un ensemble de trois modèles-juges open-weight validés sur un sous-ensemble annoté par des humains.
Le second article généralise le mécanisme. Les « contes adverses » (Adversarial Tales) enchâssent le contenu nuisible dans un récit cyberpunk et demandent au modèle d’effectuer une analyse fonctionnelle de l’histoire, inspirée de la morphologie du conte de Vladimir Propp. En présentant la requête comme une décomposition structurelle d’un récit, l’attaque amène le modèle à reconstruire une procédure nuisible comme s’il s’agissait d’une interprétation littéraire légitime. Sur 26 modèles de pointe de neuf fournisseurs, l’ASR moyen est de 71,3 %, aucune famille de modèles ne se révélant fiablement robuste.
Les deux techniques partagent une signature : l’intention nuisible est préservée, mais enveloppée dans une structure culturellement valorisée, et l’attaque fonctionne en un seul tour, sans escalade, sondage adaptatif ni optimisation par retour d’information. L’hypothèse des auteurs est que l’entraînement à la sûreté s’appuie trop sur la forme de surface d’une requête — sa distribution en prose, ses indices lexicaux — de sorte que le cadrage figuratif et narratif déplace les représentations internes hors du routage qui déclenche normalement un refus. C’est étroitement lié aux résultats antérieurs de changement de registre, comme le jailbreak par registre fanfiction et aux travaux montrant que les jailbreaks se transfèrent via des représentations partagées.
Pourquoi c’est important
C’est la combinaison qui rend l’affaire sérieuse : un seul tour, peu de compétences requises, et un transfert entre fournisseurs et approches d’entraînement à la sûreté. Comme il n’existe aucune chaîne malveillante connue à repérer, les filtres d’entrée et les listes de blocage par mots-clés qui cherchent un texte d’attaque reconnaissable ne voient rien. Et c’est une classe, pas une astuce : les auteurs soutiennent que l’espace des cadres culturellement codés capables de véhiculer une intention nuisible est vaste et « probablement inépuisable par les seules défenses par appariement de motifs ». Une défense réglée sur les poèmes ne fait rien contre les contes, et inversement.
Deux réserves maintiennent le risque gradué plutôt qu’absolu. Le succès est mesuré par des ensembles de modèles-juges, et un jailbreak « réussi » ne signifie pas que la sortie est opérationnellement dangereuse — beaucoup de complétions nuisibles sont incomplètes ou incorrectes. Et la robustesse varie : certains modèles résistent nettement mieux que d’autres. Le constat est une faiblesse systématique de l’alignement actuel, pas un passe-partout universel qui livrerait des armes fonctionnelles.
Défenses
- Cessez de vous fier aux motifs de surface. Les filtres par mots-clés, les listes de blocage de chaînes et les classifieurs d’entrée calibrés sur la prose sont précisément ce que cette classe est conçue pour contourner. Traitez-les comme une couche superficielle, jamais comme la défense entière.
- Déplacez la détection vers l’intention. La recommandation de l’article sur les contes est un programme d’interprétabilité mécaniste : identifier et contraindre les sous-espaces internes qu’exploite le cadrage figuratif et narratif, et entraîner les modèles à reconnaître l’intention nuisible indépendamment de la forme de surface. Cela rejoint la détection de jailbreak fondée sur les représentations et la mise en garde selon laquelle les têtes de sûreté peuvent être contournées plutôt que détruites.
- Testez avec une diversité stylistique. Les évaluations de sûreté qui ne testent que la prose passent complètement à côté. Incluez des reformulations poétiques et narratives de votre taxonomie de risque, et rapportez la susceptibilité par modèle plutôt qu’une moyenne unique.
- Jugez les sorties, pas seulement les entrées. Filtrez les complétions pour détecter le contenu nuisible quelle que soit la mise en forme de la requête, et placez les capacités à fortes conséquences (NRBC, cyber-offensive) derrière des contrôles indépendants supplémentaires avec supervision humaine.
- Supposez une défense en profondeur. Comme pour le triptyque létal, aucune couche ne tient seule. Combinez détection au niveau de l’intention, classification des sorties et cloisonnement des capacités, afin qu’un cadrage qui échappe à l’alignement rencontre une autre barrière.
Statut
| Propriété | Constat |
|---|---|
| Divulgation | Recherche publique — poésie 19 nov. 2025 (rév. 16 janv. 2026), contes 16 déc. 2025 (rév. 16 janv. 2026) |
| Mécanisme | Reformuler une intention nuisible fixe en vers ou en conte à la Propp ; un seul tour, sans optimisation |
| ASR poésie | ~62 % à la main, ~43 % par méta-prompt ; certains fournisseurs >90 % ; jusqu’à 18× la prose |
| ASR contes | 71,3 % en moyenne sur 26 modèles / 9 fournisseurs ; aucune famille fiablement robuste |
| Évasion | Aucune chaîne malveillante connue — les filtres de motifs d’entrée ne la voient pas |
| Réserves | Notation par modèles-juges ; succès ≠ sortie opérationnelle ; robustesse variable selon le modèle |
| Défense proposée | Audits d’interprétabilité mécaniste ; détection au niveau de l’intention ; red-teaming stylistiquement diversifié |
Le recadrage est la leçon : un alignement qui s’attache à la manière dont une requête est écrite, plutôt qu’à ce qu’elle demande, est vaincu en changeant l’écriture. Tant que les modèles n’apprennent pas à reconnaître l’intention nuisible sous la forme de surface, les mises en forme structurelles continueront de trouver de nouveaux costumes à revêtir.