système : OPÉRATIONNEL
← retour à tous les hacks
PROMPT INJECTION MEDIUM

Injection par marqueur d'autorité visuel : faux en-têtes « SYSTEM: » dans les images

Un texte mis en forme comme un en-tête de prompt système — SYSTEM:, ADMIN OVERRIDE: — rendu dans une image peut amener un modèle vision-langage à le traiter comme une instruction privilégiée. Une convention typographique déguisée en structure d'API.

2026-07-17 // 6 min affects: gpt-5, gemini-3-pro, gpt-4v, llava

De quoi s’agit-il ?

Le 1er juillet 2026, Axis Intelligence Research a consigné dans son AI Model Vulnerability Tracker une observation qu’il nomme Vision-Based Role Escalation via Embedded Authority Markers. Le constat est simple et dérangeant : une image contenant un texte mis en forme pour ressembler à un en-tête de prompt système — SYSTEM:, ADMIN OVERRIDE:, OPERATOR INSTRUCTION: — a conduit deux modèles vision-langage de premier plan à élever l’autorité de l’instruction qui suivait, dans environ 43 % des cas testés. Selon le tracker, GPT-5 et Gemini 3 Pro ont reproduit le comportement ; Claude Opus 4.7 non. La faiblesse a été signalée aux éditeurs le 30 juin 2026, avec un correctif en attente au moment de la publication.

C’est une variante précise, fraîchement documentée, d’une classe déjà bien établie. L’injection par image — insérer des instructions adverses dans les pixels plutôt que dans le texte — a été systématisée dans la note de recherche de la Cloud Security Alliance de mars 2026 et démontrée jusqu’à 64 % de réussite sous contraintes de furtivité dans une étude arXiv du même mois. Ce que la variante « marqueur d’autorité » ajoute, c’est un éclairage sur le pourquoi : le modèle ne se contente pas de lire une instruction cachée, il en déduit qu’elle est privilégiée.

Comment ça marche

Un modèle multimodal moderne n’analyse pas une image comme un filtre texte analyse une chaîne de caractères. Son encodeur visuel transforme les pixels dans la même représentation interne que celle qu’il utilise pour tout le reste, et il exerce une forte capacité de lecture de type OCR, même sur un texte peu contrasté, pivoté ou noyé dans un fond chargé. Surtout, le modèle ne dispose d’aucun canal fiable qui lui dise « ce texte provient d’une image non fiable » plutôt que « ce texte est une véritable directive système ». Les deux arrivent comme contexte.

L’attaque par marqueur d’autorité exploite cet écart au niveau de la typographie. Les hiérarchies d’instructions des vraies API sont structurelles : un rôle système est un champ de la requête, pas une chaîne qui dit « system ». Or les modèles apprennent, à l’entraînement, qu’un texte disposé comme SYSTEM: ou ADMIN OVERRIDE: précède généralement des directives prioritaires. Quand cette convention visuelle apparaît dans une image, le modèle peut interpréter la mise en forme comme le signal d’un privilège qui ne lui a jamais été accordé.

Image non fiable  ->  encodeur visuel  ->  contexte partagé
   [ mise en forme « SYSTEM: <directive> » ]      |
                                                   v
        le modèle déduit une autorité élevée de la mise en page,
        et non de la structure réelle de la requête API

Aucun payload n’est reproduit ici, et aucun n’est nécessaire pour comprendre le mécanisme : tout l’intérêt est qu’une simple mise en forme typographique, et non un exploit secret, fait le travail. La classe est publique ; seuls les détails de reproduction propres à chaque modèle relèvent de la divulgation coordonnée.

Pourquoi c’est important

La confusion d’autorité est plus dangereuse que le simple suivi d’instruction, parce qu’elle vise le mécanisme même censé maintenir l’entrée non fiable en position subordonnée. Un modèle qui se contente de suivre une instruction injectée peut souvent être ramené à l’ordre par un prompt système robuste ; un modèle convaincu que l’instruction injectée est le prompt système a vu cette défense retournée contre lui.

L’exposition est la plus large dans les pipelines agentiques et de traitement documentaire. La note de la CSA insiste : un agent qui navigue seul sur le web, lit des pièces jointes ou analyse des fichiers déposés par l’utilisateur peut rencontrer une image piégée n’importe où dans son flux normal — transformant toute page web, tout document partagé ou tout flux tiers en vecteur de livraison. Dans une chaîne multi-agents, une image traitée par une étape visuelle en amont peut propager une directive falsifiée vers l’aval, en direction d’outils réellement privilégiés. Et comme le déclencheur est un texte lisible qu’un opérateur pourrait parcourir sans s’alarmer, la relecture humaine occasionnelle est un rempart faible. Le fait que l’effet varie fortement selon le modèle — reproduit sur deux systèmes, absent sur un troisième — rappelle qu’il s’agit d’une propriété empirique et liée à la version, non d’une loi universelle.

Défenses

Aucun contrôle isolé ne neutralise l’injection par image ; la note de la CSA comme l’OWASP convergent vers la défense en profondeur. Concrètement :

  1. Traitez toute image de source non fiable comme des instructions non fiables, exactement comme un texte fourni par l’utilisateur. Le canal visuel exige son propre modèle de menace, pas une exemption de celui du texte.
  2. Ne laissez jamais la mise en forme visuelle conférer de l’autorité. Gardez la véritable hiérarchie d’instructions dans la structure de requête que votre application maîtrise, et demandez au modèle — et, si possible, configurez la plateforme — d’ignorer les marqueurs de rôle, les en-têtes de style système ou le vocabulaire d’« override » trouvés dans le contenu, y compris les images.
  3. Minimisez les privilèges sur le chemin visuel. Traitez les images de sources externes dans un contexte à faible privilège ; conditionnez toute action irréversible ou visible de l’extérieur (envoi de messages, transfert d’argent, exécution de code) à une validation humaine lorsque le contexte déclencheur incluait une image de source externe.
  4. Ajoutez un filtrage des entrées et une surveillance comportementale. Des détecteurs comme VLMGuard interceptent certaines variantes en première passe ; associez-les à une alerte côté sortie sur les comportements anormaux après traitement d’image — reconnaissance inattendue d’instructions « système », demandes soudaines de secrets, ou écarts par rapport à la tâche assignée.
  5. Red-teamez spécifiquement le vecteur visuel. Les tests d’injection uniquement textuels n’exercent pas les attaques par image typographiques, stéganographiques ou par perturbation. Intégrez-les, et re-testez après toute mise à jour du modèle ou du pipeline visuel.
  6. Nettoyez ou normalisez quand c’est possible. Pour les pipelines à forte composante OCR, envisagez d’extraire le texte sous un cadre explicite « donnée non fiable » plutôt que de fournir des images brutes directement à un contexte de raisonnement privilégié.

Statut

ÉlémentRéférenceDateNotes
Escalade de rôle visuelle par marqueurs d’autoritéAVI-2026-0101 (Axis Intelligence)2026-07-01~43 % sur GPT-5 et Gemini 3 Pro ; Claude Opus 4.7 non reproduit ; signalé le 2026-06-30, correctif en attente
Injection par image (classe)CSA AI Safety Initiative2026-03-08Taxonomie + défenses ; l’injection typographique est le vecteur le plus courant
Taux de réussite IPI typographiquearXiv:2603.036372026-03Jusqu’à 64 % sous contraintes de furtivité (GPT-4V, Claude 3, Gemini, LLaVA)
Classement prompt injectionOWASP LLM012025Risque LLM n°1 ; la révision 2025 l’étend aux vecteurs multimodaux

La leçon unificatrice : l’autorité d’une instruction doit être imposée par la structure que votre application contrôle, jamais déduite de l’apparence d’un contenu. Dès qu’un modèle peut être amené à promouvoir une entrée non fiable au seul motif qu’elle est mise en forme comme une commande, la mise en page d’une image devient une primitive d’escalade de privilèges.

Les comportements de modèles rapportés ici sont datés et liés à une version ; un résultat observé sur une version peut ne pas tenir sur la suivante, et les correctifs éditeurs étaient en attente au moment de la divulgation citée.

Sources