Essais sur le RAG
La génération augmentée par récupération (RAG) donne à un modèle de quoi répondre à partir de vos documents plutôt que de sa seule mémoire. Le piège de sécurité est subtil : le contenu récupéré est une entrée, pas une autorité, et pourtant le modèle le lit avec la même confiance que vos instructions. C'est le problème du confused deputy de 1988, ressorti dans une architecture moderne — un document peut faire agir le système au nom de quelqu'un d'autre. Ces essais détaillent comment l'injection indirecte arrive par l'index, pourquoi l'autorisation doit suivre l'utilisateur qui interroge et pas seulement la permission de l'index, et comment cloisonner un pipeline RAG pour que ce qu'il peut lire borne ce qu'il peut faire.
Tous les articles → Outil lié : Générateur de modèle de menaces LLM →
LLM Wiki de Karpathy : pré-digérer ses sources plutôt que les réinterroger
LLM Wiki de Karpathy : pré-digérer ses sources dans un wiki Markdown piloté par CLAUDE.md, plutôt que rejouer la même RAG à chaque question. Méthode et limites.
Ton pipeline RAG est un adjoint confus
Un article de 1988 sur le problème du confused deputy en dit plus sur les pipelines RAG modernes que la plupart des posts de 2024.