Un seul neurone suffit à contourner l'alignement de sécurité des grands modèles de langage
Une équipe de chercheurs a mis au jour une faille structurelle dans les mécanismes de sécurité des grands modèles de langage : un seul neurone suffit à contourner l'alignement censé bloquer les contenus dangereux. L'étude montre que la sécurité de ces modèles repose en réalité sur deux systèmes distincts sur le plan mécanique, des neurones dits de refus, qui décident si un savoir jugé nuisible doit être exprimé, et des neurones dits de concept, qui encodent ce savoir lui-même. En ciblant un unique neurone dans chacun de ces deux systèmes, les chercheurs ont réussi à provoquer les deux types d'échec possibles, en supprimant le refus pour faire répondre le modèle à des requêtes explicitement dangereuses, et en amplifiant l'activation d'un concept pour faire surgir du contenu nuisible à partir de questions anodines. L'expérience a été menée sur sept modèles issus de deux familles différentes, avec des tailles allant de 1,7 à 70 milliards de paramètres, sans nécessiter le moindre réentraînement ni la moindre manipulation du prompt.
Ce résultat fragilise l'idée que les garde-fous actuels des modèles conversationnels offrent une protection robuste. Si une intervention aussi minime, sur un seul neurone parmi des milliards de paramètres, suffit à annuler ou à détourner l'alignement de sécurité, cela signifie que ces protections reposent sur des points de défaillance uniques plutôt que sur une architecture de sécurité distribuée et redondante. Pour les entreprises qui déploient ces modèles dans des produits grand public, cela relance la question de la fiabilité réelle des filtres de sécurité face à des acteurs malveillants ayant accès aux poids du modèle.
Cette découverte s'inscrit dans le champ de l'interprétabilité mécaniste, qui cherche à comprendre le fonctionnement interne des réseaux de neurones plutôt que de les traiter comme des boîtes noires. Elle rejoint une série de travaux récents ayant démontré la fragilité de l'alignement par ajustement fin face à des interventions ciblées au niveau des activations internes, relançant le débat sur la nécessité de repenser en profondeur les méthodes de sécurisation des modèles avant leur diffusion à grande échelle.
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.



