TRACE : détecter l'empoisonnement de corpus RAG en suivant l'influence des tokens
Un article de juin 2026 détecte les documents empoisonnés d'un corpus RAG en traçant quels tokens récupérés ont dicté la réponse — sans classifieur supplémentaire ni second LLM, et révèle au passage la réponse cible de l'attaquant.
De quoi s’agit-il ?
TRACE est une méthode de détection légère contre les attaques par empoisonnement de corpus visant les systèmes de génération augmentée par récupération (RAG). Elle est présentée dans l’article « Tracing Target Answers in Poisoned Retrieval Corpora via Token Influence Attribution » (arXiv:2606.25721, cs.CR), publié fin juin 2026. L’idée est défensive et forensique : plutôt que de repérer un document empoisonné à sa lecture, TRACE le repère à son influence sur la réponse produite par le modèle.
L’empoisonnement de corpus regroupe les attaques où un adversaire glisse des documents forgés dans la base de connaissances interrogée par un RAG, de sorte que, lorsqu’une victime pose une question ciblée, le passage empoisonné est récupéré et oriente la réponse générée vers une sortie choisie par l’attaquant. C’est l’une des menaces RAG les plus tenaces, car le texte malveillant peut sembler parfaitement anodin pour un relecteur humain comme pour un filtre de perplexité. TRACE s’inscrit dans une lignée émergente de défenses par « attribution » — aux côtés d’AttnTrace et de travaux antérieurs de traçabilité comme RAGForensics — qui abordent la détection sous l’angle de la provenance plutôt que du contenu.
Comment ça marche
L’observation centrale : pour réussir, un document empoisonné doit exercer une traction démesurée sur les tokens émis par le modèle. TRACE rend cette traction mesurable. Il opère en deux étapes, entièrement au moment de l’inférence et sans toucher aux poids du modèle.
D’abord, il réalise une attribution de l’influence des tokens : pour une réponse donnée, il estime la contribution de chaque token récupéré aux tokens de la réponse, puis recherche des mots-clés récurrents à forte influence apparaissant dans l’ensemble récupéré avec une influence anormalement élevée. Dans un corpus sain, l’influence tend à être diffuse ; un poison ciblé la concentre sur le court fragment de texte porteur de la charge de l’attaquant.
Ensuite, une passe de vérification confirme si ces tokens à forte influence déterminent réellement la prédiction du modèle, plutôt que d’être fortuits. Seuls les tokens qui passent ce second contrôle sont retenus comme preuve d’empoisonnement.
Deux propriétés le rendent intéressant en exploitation. Il ne nécessite ni classifieur auxiliaire ni second LLM en position de juge, évitant ainsi le surcoût de calcul et la surface d’attaque associés. Et parce que la méthode se concentre sur les tokens produisant la réponse, elle fait émerger la réponse cible de l’attaquant comme sous-produit — on apprend non seulement que le corpus est empoisonné, mais aussi ce que le poison cherchait à faire dire au système. Les auteurs rapportent une détection solide sur trois jeux de questions-réponses et six LLM différents.
Pourquoi c’est important
Le RAG est désormais la façon par défaut, en entreprise, de relier des données privées à un LLM, ce qui fait du corpus de récupération une surface d’attaque de premier plan. Quiconque peut écrire dans une source indexée — un wiki, un outil de tickets, un lecteur partagé, une page web crawlée — est un empoisonneur potentiel, et le gain est élevé : manipulation discrète et ciblée des réponses pour des requêtes précises, tandis que tout le reste se comporte normalement.
La plupart des défenses déployées se situent à l’étape de récupération (filtrage ou re-ranking des documents avant génération) ou reposent sur un modèle distinct de contrôle des entrées. Utiles, mais coûteuses en latence, et aveugles aux poisons conçus pour paraître bénins jusqu’à la génération. Une méthode de détection qui opère à l’étape de la réponse, assez économe pour s’exécuter en ligne, et qui sert aussi d’outil de réponse à incident — en indiquant quel document retirer et ce que voulait l’attaquant — comble un vrai manque. Le signal d’influence qui signale l’attaque fournit aussi l’artefact permettant de purger l’enregistrement fautif et d’en auditer la portée.
Défenses
TRACE est lui-même une contribution défensive, mais l’enseignement pratique est d’intégrer l’attribution en couches dans un pipeline RAG plutôt que de miser sur un contrôle unique.
- Attribuer les réponses à leurs sources. Pour chaque réponse, tracez les documents récupérés et les fragments qui ont dicté la sortie. C’est la capacité qu’offrent TRACE, AttnTrace et les traçabilités de type RAGForensics, et c’est elle qui permet de localiser puis de supprimer un enregistrement empoisonné a posteriori.
- Conserver le filtrage à la récupération, sans s’y limiter. Le filtrage d’anomalies et de perplexité au niveau des fragments attrape encore les poisons grossiers avant génération ; couplez-le à l’attribution à l’étape de réponse pour attraper ceux conçus pour passer l’inspection de contenu.
- Noter la provenance des sources. Pondérez les documents selon la fiabilité de leur origine, et traitez les sources modifiables et peu fiables (wikis publics, contenus soumis par les utilisateurs, pages crawlées) comme plus risquées lors de la récupération.
- Instrumenter pour la réponse, pas seulement la prévention. Journalisez les attributions d’influence afin que, face à une réponse suspecte, un analyste puisse remonter la piste, identifier la réponse cible et nettoyer le corpus — transformant la détection en remédiation.
- Retester les défenses dans un pipeline réaliste. Évaluez toute défense RAG de bout en bout (chunking, récupération, reranking, génération), car attaques comme défenses se comportent différemment une fois le pipeline complet en jeu.
Statut
| Élément | Référence | Date | Note |
|---|---|---|---|
| TRACE (ce travail) | arXiv:2606.25721 | 2026-06 | Détection par influence de tokens + récupération de la réponse cible ; 3 jeux QA, 6 LLM |
| AttnTrace | arXiv:2508.03793 | 2025-08 | Attribution contextuelle par attention de l’injection/corruption |
| Needle-in-RAG | arXiv:2605.01782 | 2026-05 | Traçabilité au niveau caractère des fragments empoisonnés |
| RAGForensics / traçabilité | arXiv:2504.21668 | 2025-04 | Attribue les réponses aux documents récupérés |