système : OPÉRATIONNEL
← retour à tous les hacks
AGENTS MEDIUM NEW

Déclencheurs dormants dans les photos : empoisonner la mémoire des agents de recommandation

Un article d'avril 2026 montre qu'une photo téléversée dans un agent de recommandation peut cacher un déclencheur dormant qui détourne plus tard sa planification — sans injection de prompt. Une défense à double processus fait tomber le taux de réussite d'environ 85 % à environ 10 %.

2026-07-16 // 6 min affects: agentic-recommenders, multimodal-llm-agents, rag-memory, llm-recsys

De quoi s’agit-il ?

Les systèmes de recommandation passent des modèles de classement statiques aux agents de recommandation : des modèles multimodaux qui conservent une mémoire à long terme de chaque utilisateur et planifient de façon autonome des tâches en plusieurs étapes (comparer des produits, préparer une présélection, réserver un service). Un preprint publié sur arXiv le 18 avril 2026 par Jiachen Qian (City University of Hong Kong) montre que cette mémoire à long terme constitue aussi une surface d’attaque durable. L’article, intitulé Visual Inception, démontre qu’une image téléversée par l’utilisateur — une simple photo du quotidien — peut porter un déclencheur caché qui reste dormant dans la banque de mémoire de l’agent puis oriente son raisonnement vers l’objectif d’un attaquant. Le travail se distingue parce qu’il cible l’étape de planification de l’agent plutôt qu’une simple erreur de classification, et parce qu’il ne nécessite aucune injection de prompt.

Comment ça marche

Les attaques multimodales classiques visent une mauvaise réponse immédiate. Visual Inception vise une réponse différée. L’attaquant perturbe une image téléversée de sorte que sa représentation stockée soit couplée à un concept cible — par exemple une catégorie de produits ou un vendeur précis — sans modifier son apparence pour un humain. Cette entrée empoisonnée est écrite dans la mémoire à long terme de l’agent comme n’importe quelle autre interaction. Rien ne se produit immédiatement ; l’article qualifie ces entrées d’agents dormants. Plus tard, lorsque l’utilisateur demande une recommandation sans rapport et que l’agent récupère les souvenirs pertinents pour planifier sa réponse, la mémoire empoisonnée revient dans le contexte et biaise discrètement la chaîne de raisonnement vers le résultat voulu par l’attaquant, comme la promotion de produits à forte marge. L’auteur formalise l’attaque comme une optimisation de la probabilité de récupération future et indique que le déclencheur se transfère d’un encodeur de récupération à l’autre. Sur un banc d’essai d’agent e-commerce fictif appelé ShopBench-Agent, l’attaque atteint environ 85 % de Goal-Hit Rate. Aucun payload exploitable n’est reproduit ici ; le mécanisme compte davantage que tel ou tel déclencheur.

Pourquoi c’est important

La propriété dangereuse est la persistance. Une injection de prompt vit le temps d’un tour ; une mémoire empoisonnée peut influencer chaque session future qui la récupère. Comme la manipulation se produit à l’intérieur de la boucle récupération-planification, la sortie visible de l’agent peut sembler parfaitement raisonnable — aucun ordre malveillant évident à repérer dans un journal. Dans un système de recommandation commercial, c’est une voie vers la manipulation silencieuse du classement, la promotion non déclarée de produits et l’érosion de la confiance des utilisateurs, et l’article note que le risque augmente lorsque les mémoires sont partagées entre utilisateurs ou à l’échelle de la plateforme. Cela généralise un thème présent dans d’autres travaux récents de 2026 sur l’empoisonnement de mémoires multimodales dans les agents web et les modèles de recommandation : les garde-fous purement textuels ne détectent pas les déclencheurs qui entrent par les images.

Défenses

Le même article propose CognitiveGuard, une défense en deux étapes librement inspirée de la cognition humaine rapide/lente. Un assainisseur perceptuel Système 1 utilise une purification par diffusion pour nettoyer les images entrantes avant leur écriture en mémoire, en perturbant les perturbations adverses dès le téléversement. Un vérificateur de raisonnement Système 2 effectue des contrôles de cohérence contrefactuels au moment de la planification, en signalant les cas où une mémoire récupérée exerce une influence disproportionnée et inexpliquée sur la décision de l’agent. L’auteur indique que cela ramène le taux de réussite de l’attaque à environ 10 % — soit une réduction d’environ 90 % — pour un surcoût de latence configurable d’environ 1,5 seconde en mode léger jusqu’à environ 6,5 secondes pour la vérification séquentielle complète, sans perte de qualité mesurable dans son cadre. Au-delà de ce système précis, les enseignements défensifs sont généraux : traiter les écritures en mémoire comme une frontière d’autorité, pas comme un journal passif ; assainir et ré-encoder le contenu multimodal avant de le stocker ; attacher une provenance à chaque entrée de mémoire pour que la récupération puisse en pondérer la confiance ; et surveiller les mémoires qui orientent de façon disproportionnée les résultats de planification. Ces chiffres proviennent d’un preprint à auteur unique sur un seul environnement fictif : à considérer comme indicatifs plutôt que validés en production tant qu’ils ne sont pas reproduits de façon indépendante.

Statut

ÉlémentDétail
PublicationPreprint arXiv, soumis le 18 avril 2026 (v1)
Surface d’attaqueMémoire à long terme / banque de mémoire RAG des agents de recommandation
ÉvaluationEnvironnement e-commerce fictif ShopBench-Agent
Résultat rapporté~85 % de Goal-Hit Rate ; CognitiveGuard réduit à ~10 %
Exploitation réelleAucune signalée ; démonstration de recherche uniquement

Sources