Essais sur le RAG
La génération augmentée par récupération (RAG) donne à un modèle de quoi répondre à partir de vos documents plutôt que de sa seule mémoire. Le piège de sécurité est subtil : le contenu récupéré est une entrée, pas une autorité, et pourtant le modèle le lit avec la même confiance que vos instructions. C'est le problème du confused deputy de 1988, ressorti dans une architecture moderne — un document peut faire agir le système au nom de quelqu'un d'autre. Ces essais détaillent comment l'injection indirecte arrive par l'index, pourquoi l'autorisation doit suivre l'utilisateur qui interroge et pas seulement la permission de l'index, et comment cloisonner un pipeline RAG pour que ce qu'il peut lire borne ce qu'il peut faire.
Tous les articles → Outil lié : Générateur de modèle de menaces LLM →
Ton pipeline RAG est un adjoint confus
Un article de 1988 en dit plus sur les agents modernes à génération augmentée par la récupération que la plupart de ceux de 2024.
L'injection de prompt indirecte et les documents que tu n'as pas écrits
Les instructions dangereuses ne viennent pas de ton utilisateur. Elles viennent de la page web que ton agent vient de lire.
Le « confused deputy » s'attaque à votre pipeline RAG
Un problème de 1988, habillé à la mode 2026. Pourquoi la récupération combinée aux outils est une machine à confondre les privilèges.