OpenAI dresse une IA à attaquer ses propres modèles

OpenAI dresse une IA à attaquer ses propres modèles

L’essentiel

  • OpenAI a entraîné GPT-Red, un « red teamer » interne qui traque tout seul les failles d’injection de prompt de ses modèles.
  • Il réussit ses attaques dans 84 % des scénarios de test, contre 13 % pour des red teamers humains.
  • Ses trouvailles réentraînent directement les modèles : GPT-5.6 Sol échoue six fois moins sur les injections directes qu’il y a quatre mois.
  • Environ 3,8 % des injections les plus abouties passent encore les défenses.

Dans les locaux d’OpenAI, un distributeur automatique piloté par une IA a vu ses prix trafiqués et les commandes d’autres clients purement et simplement annulées. L’attaquant n’était pas un stagiaire farceur : c’était GPT-Red, un modèle qu’OpenAI a entraîné pour pirater ses propres IA. La démonstration prête à sourire, mais elle acte un basculement que l’on va sentir dans les prochaines versions de ChatGPT.

GPT-Red est un red teamer automatisé, c’est-à-dire un attaquant maison chargé de trouver les brèches avant les vrais assaillants. Sa cible : l’injection de prompt, cette technique où des instructions malveillantes se glissent dans un e-mail, une page web ou un fichier pour détourner un modèle de sa consigne d’origine. OpenAI l’a présenté cette semaine sur son compte officiel comme un outil interne, et annonce une publication détaillée à venir.

Une IA dressée à en casser une autre

Le cœur de la méthode, c’est l’apprentissage par renforcement en auto-jeu (self-play) : GPT-Red attaque, un modèle défenseur bloque, et les deux progressent tour après tour, comme deux joueurs qui se poussent mutuellement vers le haut. Aucun catalogue d’attaques écrit à la main : l’attaquant invente ses propres coups et affine ceux qui percent.

Le rendement fait la différence. Là où une équipe humaine trouve une attaque exploitable dans 13 % des cas, GPT-Red y parvient dans 84 %. Ce facteur six ne relève plus du réglage fin : il change la nature même de l’exercice. Une IA teste sans relâche, à toute heure, à un coût marginal proche de zéro, des milliers de variantes qu’aucune équipe de chair et d’os ne pourrait couvrir en un trimestre.

De l’attaque au réentraînement, la boucle se referme

Le score frappe, mais l’enjeu se joue dans l’usage qu’OpenAI fait de ces attaques. Les attaques réussies de GPT-Red repartent aussitôt dans l’entraînement des modèles de génération suivante. Pour vérifier que le gain est réel, l’entreprise a rejoué contre GPT-5.6 Sol certaines de ses attaques les plus fortes, jamais vues pendant l’apprentissage : le modèle encaisse six fois moins d’échecs sur les injections directes que le meilleur modèle d’il y a quatre mois, sans dégrader ses performances générales.

OpenAI le formule sans détour : après avoir utilisé des agents d’IA pour améliorer les capacités de ses futurs modèles, l’entreprise vise le même effet de roue motrice pour la sécurité. Les modèles d’aujourd’hui durcissent ceux de demain, qui à leur tour attaqueront et défendront mieux. La sûreté cesse d’être un audit ponctuel avant lancement pour devenir un processus continu, cadencé par le calcul disponible.

Les petits labos n’ont plus les moyens de suivre

Cette bascule a un coût, et il ne se répartit pas également. Faire tourner un attaquant de la trempe de GPT-Red suppose d’immobiliser une puissance de calcul considérable pour un usage qui ne produit rien de vendable, juste des failles à colmater. Un grand laboratoire l’amortit sur des centaines de millions d’utilisateurs ; une jeune pousse ou un modèle ouvert communautaire, non.

À échéance de douze à dix-huit mois, la robustesse aux injections risque donc de se hiérarchiser strictement selon la taille des flottes de GPU. Les acteurs qui promettent des agents autonomes lisant vos e-mails et cliquant à votre place seront jugés sur ce terrain précis, et les écarts se creuseront moins sur l’intelligence brute des modèles que sur ce qu’ils encaissent quand on les attaque. La sécurité devient un actif d’échelle, au même titre que la donnée ou l’infrastructure.

Les 3,8 % qui passent encore

Reste une nuance qu’OpenAI a l’honnêteté de publier : environ 3,8 % des injections les plus abouties franchissent encore les défenses de GPT-5.6 Sol. Sur une requête isolée, le risque paraît faible. Mais un agent qui traite des milliers de pages et de messages par jour multiplie les tentatives, et un attaquant patient n’a besoin que d’un seul passage réussi. OpenAI reconnaît d’ailleurs se situer dans le même ordre de grandeur que les meilleurs concurrents du marché sur ce point.

Autrement dit, la courbe descend depuis les versions précédentes mais n’atteint pas zéro, et rien n’indique qu’elle y arrivera. Pour quiconque déploie des agents en production, la leçon est concrète : traiter tout contenu externe comme hostile par défaut, cloisonner les actions sensibles derrière une validation humaine, et ne pas confondre « six fois plus résistant » avec « inviolable ».

Une décision comptera plus que n’importe quel point de pourcentage : le jour où un red teamer automatique de ce calibre sortira des murs, en open source ou via une API dédiée, la robustesse redeviendra accessible à tous. Tant qu’il reste interne, il travaille pour un seul camp, et il rend l’écart un peu plus difficile à combler chaque semaine.

Mon avis

La sécurité des IA vient de basculer du côté du capital. D’ici dix-huit mois, aucun laboratoire dépourvu d’un cluster massif ne pourra revendiquer une robustesse comparable, tout simplement parce que durcir un modèle exigera d’en faire tourner un autre à plein régime contre lui, en continu. GPT-Red n’est pas qu’un outil de sûreté : c’est une barrière à l’entrée déguisée en bonne pratique. Je crois que ce sera bientôt l’argument commercial numéro un pour les agents autonomes, bien avant la performance pure, et c’est précisément là que se jugera qui reste dans la course.

Sources

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *