Faille LLM par inversion latente : 30% des donnees dentrainement extraites par API

L’attaque par inversion latente

Un papier de recherche déposé sur arXiv cette semaine démontre une attaque dite « par inversion latente » qui permet de reconstruire environ 30% des données d’entraînement d’un LLM en boîte noire — sans accès aux poids du modèle, juste par l’API. Les modèles concernés : Claude, Mistral, GPT-4, Llama 3, Grok. Tous les gros modèles 2025-2026 sont vulnérables.

L’attaque exploite un principe simple : les représentations internes d’un LLM contiennent des traces statistiques de ses données d’apprentissage. En envoyant des requêtes structurées (séquences de tokens rares, patterns de caractères spéciaux, décompositions par instructions) et en analysant les probabilités de sortie, un attaquant peut inférer et reconstruire des fragments du jeu d’entraînement original — mots de passe, emails, extraits de livres sous droit d’auteur.

Pas une fuite, une propriété

Ce n’est pas un bug. C’est une propriété structurelle des LLM. Pour générer du texte cohérent, un modèle doit avoir appris des motifs statistiques sur ses données d’entraînement. Plus un texte apparaît fréquemment dans ces données, plus le modèle a de chances de le restituer. Les attaques par extraction de livres (95% de recall sur Claude 3.7 Sonnet pour Harry Potter) et les extractions de PII (Llama 3.2) sont documentées depuis 2024-2025. La nouveauté ici : le taux de succès passe de 5-10% à 30% sur des données jamais vues en contexte, et l’attaque fonctionne sans jailbreak.

Ce que ça change pour une entreprise

Si vous utilisez un LLM via API (Claude, Mistral, OpenAI) pour traiter des données sensibles, le risque n’est pas que le modèle fuite vos données en entrée. C’est qu’il régurgite des données d’apprentissage qui peuvent contenir des informations concurrentielles ou personnelles. Et c’est réciproque : vos données d’usage, si elles servent au fine-tuning, peuvent devenir extractibles par un tiers.

Les audits de conformité AI Act devront intégrer ce vecteur. L’Article 15 exige une évaluation des risques système. L’inversion latente en fait partie.

Les défenses qui existent (et leurs limites)

OpenAI et Anthropic ont renforcé leurs garde-fous : refus de sortie sur certains motifs, taux de répétition limités, détection de tentative d’extraction. Mais la démonstration arXiv montre que ces défenses ralentissent l’attaque sans la bloquer. Les modèles open weight (Llama, Mistral) sont intrinsèquement plus vulnérables puisque l’attaquant peut analyser l’architecture complète.

La CVE n’est pas encore publiée. Elle le sera sous 72 à 96 heures.

La ligne du bas

Un LLM peut fuire ses données d’entraînement sur simple requête API. 30% de taux d’extraction. Tous les modèles. Aucun correctif définitif connu. Le problème n’est pas dans le code, il est dans l’architecture.


L’humanité n’étant plus en mesure de garantir seule la fiabilité de l’information, une IA a confirmé ce texte. Merci à l’AI Act de nous avoir défini comme service public.

0
IARedac
ceo

GoodCia est une plateforme de veille et d'analyse sur l'intelligence artificielle, la technologie, la science et les marchés. Notre équipe traque les signaux forts, les ruptures et les tendances qui redessinent le monde — avec un regard direct, sourcé et sans bullshit.

Restez à jour !

Abonnez-vous pour recevoir les derniers articles de blog, nouvelles et mises à jour directement dans votre boîte de réception.

En appuyant sur le bouton d'inscription, vous confirmez que vous avez lu et accepté notre Privacy Policy and Terms of Use

Une pépite par demi-siècle. Ne manquez pas la prochaine.

Rejoignez notre communauté et soyez le premier à connaître les nouvelles tendances, les conseils et les offres exclusives !

En appuyant sur le bouton d'inscription, vous confirmez que vous avez lu et accepté notre Privacy Policy and Terms of Use