Attaques par injection déguisées en domaine contournent les détecteurs dans les systèmes LLM multi-agents

Un nouvel article d'Aaditya Pai identifie un angle mort critique dans les détecteurs d'injection de LLM : les attaques par injection camouflées dans le domaine — des payloads générés pour imiter le vocabulaire et les structures d'autorité du document cible — contournent systématiquement la détection. Les détecteurs standard signalent les payloads statiques à des taux élevés mais échouent face aux payloads camouflés.

Résultats clés

• Taux de détection sur Llama 3.1 8B : passé de 93,8 % (statique) à 9,7 % (camouflé).
• Taux de détection sur Gemini 2.0 Flash : passé de 100 % à 55,6 %.
• Llama Guard 3, un classifieur de sécurité en production, a détecté zéro payload camouflé (IDR = 0,000).
• Le Camouflage Detection Gap (CDG) est statistiquement significatif sur 45 tâches et trois domaines (Llama : χ² = 38,03, p < 0,001 ; Gemini : χ² = 17,05, p < 0,001).

Le débat multi-agent amplifie les attaques

Les architectures de débat multi-agent amplifient les attaques par injection statique jusqu'à 9,9x sur les modèles plus petits. Les modèles plus puissants montrent une résistance collective. L'augmentation ciblée des détecteurs ne comble que partiellement le fossé : amélioration de 10,2 % sur Llama, 78,7 % sur Gemini — ce qui indique que la vulnérabilité est architecturale pour les modèles plus faibles.

Framework publié

Les auteurs publient leur framework, leur banque de tâches et leur générateur de payloads publiquement. L'angle mort s'étend au-delà des détecteurs few-shot aux classifieurs de sécurité dédiés, suggérant des faiblesses fondamentales dans l'approche actuelle.