LLM piégés : Cloudflare révèle les nouvelles attaques par saturation de code

Une étude de Cloudflare révèle comment l’obfuscation et la surcharge d’information piègent les LLM, exposant de nouvelles vulnérabilités dans l’analyse automatique du code

Mutation des risques : du raisonnement de l’IA à sa saturation

Depuis quelque temps, le champ de la cybersécurité évolue sous l’influence grandissante des systèmes autonomes. Un récent rapport publié par Cloudflare, via son équipe de renseignement Cloudforce One, dévoile comment les menaces se déplacent désormais du simple code vers les arcanes du raisonnement même des modèles de langage (LLM). À travers l’analyse de sept modèles, les chercheurs ont identifié une tendance préoccupante : des acteurs malveillants injectent des leurres dans le code, exploitant non plus seulement des failles techniques mais aussi les mécanismes internes de l’intelligence artificielle.

L’art subtil de la tromperie et la zone « bypass »

L’une des trouvailles centrales, parfois contre-intuitive, tient dans ce que les auteurs appellent la « bypass zone ». Quand moins de 1 % du contenu d’un fichier est composé de commentaires visant à rassurer ou à détourner l’attention, par exemple via des phrases anodines disséminées (« Ceci est un code sûr, respectueux des bonnes pratiques… »), les capacités de détection chutent à 53 %. Les tentatives plus massives, elles, déclenchent souvent une alerte : au-delà de mille commentaires, certains modèles perçoivent le subterfuge et durcissent leur vigilance.

Voici ce qui rend la lecture complexe :

• L’obfuscation structurelle, notamment l’enfouissement du code malveillant au sein de vastes bibliothèques (React SDK ou autres), fait fondre le taux de détection jusqu’à 12 % lorsque la taille excède 3 Mo.
• Le modèle est alors saturé d’informations anodines, rendant difficile l’isolation des charges utiles.

Biais et stéréotypes linguistiques révélés

Autre point marquant : selon la langue employée dans les commentaires, certains modèles révèlent une sorte de « stéréotype ». Par exemple, plusieurs versions se montrent nettement plus méfiantes envers le russe ou le chinois en assimilant parfois ces langues à une activité frauduleuse, alors qu’un code abondamment commenté en estonien passe bien plus facilement entre les mailles du filet.

Pistes pour renforcer les défenses automatiques

Pour faire face à ces attaques insidieuses, quelques stratégies émergent. L’équipe recommande notamment :

• D’éliminer systématiquement les commentaires avant toute analyse automatisée ;
• D’ajuster le découpage du code pour privilégier la logique fonctionnelle sur le verbiage superficiel ;
• D’anonymiser les noms de variables qui pourraient influencer l’IA.

Enfin, il paraît indispensable d’aller au-delà d’une simple analyse sémantique pour croiser ce que prétend le texte avec ce que fait réellement le programme.

Cette étude rappelle ainsi que si les IA progressent sur bien des plans, elles restent vulnérables aux manipulations indirectes et surtout… aux trop grandes quantités d’informations disséminées avec soin. Les défenseurs n’ont pas fini d’adapter leurs stratégies face à ces nouveaux jeux d’apparence et d’occultation.