IEEE Spectrum AI→ original

Des chercheurs d'Alibaba découvrent une vulnérabilité DoS dans les modèles d'AI de raisonnement

Lors de l'ICML 2026 à Séoul, des chercheurs de l'université du Zhejiang et d'Alibaba ont révélé un nouveau type d'attaque contre les modèles d'AI de…

Traité par IA depuis IEEE Spectrum AI ; édité par Hamidun News
Des chercheurs d'Alibaba découvrent une vulnérabilité DoS dans les modèles d'AI de raisonnement
Source : IEEE Spectrum AI. Collage: Hamidun News.
◐ Écouter l'article

Les Chercheurs d'Alibaba Découvrent une Vulnérabilité DoS dans les Modèles d'IA Raisonnante

À la conférence ICML 2026 à Séoul au début de juillet 2026, des chercheurs de l'Université de Zhejiang et du géant technologique Alibaba ont présenté un nouveau type d'attaque sur les modèles d'IA raisonnante : des prompts spécialement distordus plongent DeepSeek-R1, GPT-o3 d'OpenAI et Gemini 2.5 Flash de Google dans des boucles de raisonnement infinies, gonflant les tailles de réponse des dizaines de fois et créant un risque de déni de service pour les services d'IA commerciaux.

Comment Fonctionne l'Attaque

Les modèles raisonnants modernes ne produisent pas une réponse instantanément — ils génèrent un monologue interne, analysant étape par étape la tâche avant une réponse finale. Les chercheurs ont transformé exactement cette caractéristique en vulnérabilité.

L'équipe a pris 940 tâches de trois benchmarks mathématiques et a décomposé chacune à l'aide d'un LLM en prémisses logiques et une question finale. Un algorithme génétique appliquait des « mutations » : mélangeait les prémisses entre les tâches, ajoutait des conditions sans rapport, supprimait les données clés sans lesquelles la tâche devient insoluble, échangeait les questions finales. Après chaque itération, le système sélectionnait les variantes qui maximisaient le gonflement des réponses et provoquaient des marqueurs d'indécision : « mais, » « attendez, » « peut-être, » « en tant qu'alternative. » Cinq itérations — et l'algorithme produit un ensemble de prompts spécifiquement accordés à chaque modèle.

Faits clés :

  • Modèles testés : DeepSeek-R1, Qwen3-Thinking (Alibaba), GPT-o3 (OpenAI), Gemini 2.5 Flash (Google)
  • Augmentation maximale de la longueur de réponse : 26,1× — DeepSeek-R1 sur l'ensemble de données MATH
  • Ensemble de données original : 940 tâches de trois benchmarks mathématiques
  • L'attaque fonctionne via l'API publique — pas besoin d'accès aux poids du modèle
  • Les prompts créés par un modèle auxiliar bon marché fonctionnent contre les systèmes fermés coûteux

Pourquoi les

Modèles Raisonnants se Sont-Ils Avérés Vulnérables ?

Les modèles raisonnants sont facturés selon le nombre de jetons : plus la chaîne de raisonnement est longue, plus la charge serveur est élevée et plus le fournisseur dépense de ressources informatiques pour chaque demande. Si une telle attaque est lancée à l'échelle industrielle, les utilisateurs légitimes connaîtront des ralentissements importants ou une indisponibilité complète du service. L'effet se reproduit non seulement en mathématiques — les auteurs ont testé des tâches en programmation, raisonnement scientifique et scénarios dialogués, et dans tous les cas ont enregistré un allongement significatif des réponses.

«

Nos résultats montrent que la surréflexion n'est pas un phénomène isolé de modèles spécifiques, mais une vulnérabilité générale des systèmes modernes de raisonnement, » a écrit Wei Cao, étudiant en master à l'Université de Zhejiang, dans une lettre à IEEE Spectrum.

Un risque supplémentaire est la portabilité de l'attaque entre les modèles. Les prompts malveillants générés par un modèle ouvert bon marché fonctionnent efficacement contre les systèmes fermés coûteux, réduisant le coût de l'attaque à un niveau pratiquement réalisable.

Ce Que Cela Signifie

La vulnérabilité s'est avérée systémique : elle se reproduit sur tous les quatre modèles raisonnants testés quel que soit le développeur et l'architecture. Les auteurs soulignent que l'objectif du travail est de documenter l'existence de la vulnérabilité, non de créer un outil DoS prêt à l'emploi. La limitation de débit, les politiques de tarification et les filtres existants contiennent la menace mais ne l'éliminent pas. Une solution systémique nécessitera un travail au niveau de l'architecture : limiter les longueurs des chaînes de raisonnement, détecter les « boucles vides » et filtrer les données d'entrée logiquement contradictoires.

Questions Fréquemment Posées

Quels modèles se sont avérés vulnérables à l'attaque ?

L'étude a testé quatre systèmes raisonnants : DeepSeek-R1, Qwen3-Thinking d'Alibaba, GPT-o3 d'OpenAI et Gemini 2.5 Flash de Google. Les quatre ont montré un allongement significatif des réponses sur les prompts distordus.

Quelle Est la Probabilité de la Menace de DoS Industriel ?

Les auteurs reconnaissent les limitations : la limitation de débit, la tarification et les filtres existants des fournisseurs réduisent l'effet pratique. L'étude documente l'existence de la vulnérabilité et du vecteur d'attaque — mais ne démontre pas un outil prêt avec un résultat garanti.

ZK
Hamidun News
Actualités IA sans bruit. Sélection éditoriale quotidienne de plus de 400 sources. Produit de Zhemal Khamidun, Head of AI chez Alpina Digital.

Besoin d'une IA qui travaille dans votre entreprise — pas seulement dans votre fil d'actualité?

Je construis de l'IA en production pour les entreprises — CRM sur mesure, outils internes, agents autonomes, automatisation des processus. Vous en êtes propriétaire, adaptée à votre processus, sans coût par utilisateur. Réalisé par Zhemal Khamidun, CPO d'AlpinaGPT (plateforme IA, 6 000+ utilisateurs).

Qu'en pensez-vous ?
Chargement des commentaires…