Retour à la bibliothèque
GUIDE DE LA SOCIÉTÉ

Extraction de modèles et attaques de vol

Les attaques d’extraction de modèle permettent à un adversaire de cloner un modèle d’IA propriétaire simplement en interrogeant son API publique et en formant un imitateur sur les réponses.

Aperçu

Les attaques d’extraction de modèle permettent à un adversaire de cloner un modèle d’IA propriétaire simplement en interrogeant son API publique et en formant un imitateur sur les réponses. C’est important car les entreprises dépensent des millions de modèles de formation qui peuvent être approchés pour le prix de quelques milliers d’appels API.

Les attaques d’extraction et de vol de modèles appartiennent à la couche sociale et de gouvernance de l’IA, où la politique, la responsabilité et la confiance du public façonnent l’impact à long terme.

Plongée profonde

Une attaque d’extraction de modèle (ou de vol de modèle) traite un modèle déployé comme un oracle. L'attaquant envoie des entrées, enregistre les sorties et entraîne un modèle de remplacement pour imiter le comportement. Étant donné que le modèle cible lui-même est une fonction apprise mappant les entrées aux sorties, la copie d'un nombre suffisant de paires d'entrées-sorties peut reconstruire une approximation proche sans jamais voir les poids ou les données d'entraînement d'origine. Les chercheurs ont volé les limites de décision des classificateurs d’images et ont même récupéré les poids exacts de petites couches. En 2024, une équipe a montré que des parties des couches incorporant les modèles de production OpenAI et Google pouvaient être extraites pour moins de quelques centaines de dollars. Les copies volées nuisent aux services payants, contournent les filtres de sécurité et permettent de nouvelles attaques en boîte blanche, comme la création d'exemples contradictoires.

Aperçu technique

Plus la réponse de l'API est riche, moins le vol est coûteux. Le renvoi de vecteurs de probabilité complets ou de logits laisse filtrer beaucoup plus d'informations par requête qu'une seule étiquette top-1, de sorte que les attaquants reconstruisent les limites avec moins de requêtes. Les stratégies d'apprentissage actif sélectionnent les requêtes les plus informatives proches des limites de décision. Un résultat historique a montré qu'une interrogation juste au-dessus du nombre de dimensions de sortie peut récupérer la couche de projection linéaire finale exactement via l'algèbre linéaire, puisque cette couche est en fait une matrice couvrant les réponses.

Maîtriser l’extraction de modèles et les attaques de vol

Les attaques d’extraction de modèle permettent à un adversaire de cloner un modèle d’IA propriétaire simplement en interrogeant son API publique et en formant un imitateur sur les réponses. C’est important car les entreprises dépensent des millions de modèles de formation qui peuvent être approchés pour le prix de quelques milliers d’appels API. Les attaques d’extraction et de vol de modèles appartiennent à la couche sociale et de gouvernance de l’IA, où la politique, la responsabilité et la confiance du public façonnent l’impact à long terme. Pour acquérir une compréhension approfondie, traitez les attaques d'extraction et de vol de modèle comme un modèle opérationnel et non comme une fonctionnalité unique : définissez les résultats souhaités, clarifiez les hypothèses et séparez ce que le système peut faire de manière fiable de ce qui nécessite encore un jugement d'expert.

Dans la pratique, les équipes solides qui utilisent les attaques d’extraction de modèles et de vol associent croissance des capacités, gouvernance, sécurité et structures de responsabilité claires. Ils documentent des critères de réussite explicites, testent par rapport à des données et des flux de travail réalistes et itèrent en fonction des modèles d'échec observés plutôt que des victoires de référence ponctuelles. C’est là que la compréhension théorique se transforme en capacité durable au niveau des produits, des politiques et des opérations.

Les décisions sociétales déterminent qui en profite et qui supporte les risques. Dans le même temps, les allégations larges peuvent circuler plus rapidement que les preuves et une surveillance responsable. L'approche la plus résiliente consiste à combiner vitesse d'expérimentation et discipline de gouvernance : exécuter des projets pilotes, capturer des preuves, publier des journaux de décision et mettre à jour en permanence les protections à mesure que le comportement du modèle, les attentes des utilisateurs et les exigences réglementaires évoluent.

Impact stratégique

Les décisions sociétales déterminent qui en profite et qui supporte les risques.

Les décisions sociétales déterminent qui en profite et qui supporte les risques. Dans les déploiements de haute qualité, cela se traduit par des règles de fonctionnement mesurables, des limites de propriété et des rituels d'examen récurrents afin que les équipes puissent accroître la confiance au lieu de l'ambiguïté.

Les institutions publiques, les écoles et les entreprises s’appuient toutes sur une gouvernance claire de l’IA.

Les institutions publiques, les écoles et les entreprises s’appuient toutes sur une gouvernance claire de l’IA. Dans les déploiements de haute qualité, cela se traduit par des règles de fonctionnement mesurables, des limites de propriété et des rituels d'examen récurrents afin que les équipes puissent accroître la confiance au lieu de l'ambiguïté.

Une bonne conception politique peut améliorer la sécurité sans bloquer l’innovation utile.

Une bonne conception politique peut améliorer la sécurité sans bloquer l’innovation utile. Dans les déploiements de haute qualité, cela se traduit par des règles de fonctionnement mesurables, des limites de propriété et des rituels d'examen récurrents afin que les équipes puissent accroître la confiance au lieu de l'ambiguïté.

L’avenir de l’extraction de modèles et des attaques de vol

Les défenses passent du blocage à la détection et à la dégradation : limitation du débit, renvoi de sorties arrondies ou top 1 uniquement, ajout de bruit calibré, comportement du modèle de filigrane afin que les copies volées puissent être empreintes et surveillance des modèles de requête pour les signatures d'extraction. Attendez-vous à des réglementations et à des conditions de licence qui traitent l’extraction comme un vol, ainsi qu’à une recherche active sur des architectures dont il est prouvé qu’elles sont difficiles à extraire. À mesure que les modèles deviennent plus grands, l’extraction complète reste coûteuse, mais l’extraction partielle de composants précieux et le clonage par distillation resteront une menace commerciale et sécuritaire persistante.

Mise en œuvre dans le monde réel

Une startup interroge des milliers de fois l'API de reconnaissance d'image payante d'un concurrent et forme un clone gratuit qui reproduit sa précision.

Les chercheurs en sécurité extraient la couche finale d'intégration-projection d'un modèle de langage de production à l'aide de requêtes API soigneusement conçues qui ne coûtent que quelques centaines de dollars.

Un attaquant clone localement un classificateur de spam ou de fraude afin de pouvoir le sonder hors ligne et créer des entrées qui échappent à la détection de manière fiable.

Un fournisseur de cloud ajoute une surveillance du taux de requêtes qui signale un compte dont le modèle d'accès correspond à l'extraction d'apprentissage actif et limite ses réponses.

Modèles de mise en œuvre

Extraction de modèles et attaques de vol en pratique

Une startup interroge des milliers de fois l'API de reconnaissance d'image payante d'un concurrent et forme un clone gratuit qui reproduit sa précision.

Une startup interroge des milliers de fois l'API de reconnaissance d'image payante d'un concurrent et forme un clone gratuit qui reproduit sa précision. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin d'escalade humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Extraction de modèles et attaques de vol en pratique

Les chercheurs en sécurité extraient la couche finale d'intégration-projection d'un modèle de langage de production à l'aide de requêtes API soigneusement conçues qui ne coûtent que quelques centaines de dollars.

Les chercheurs en sécurité extraient la couche finale d'intégration et de projection d'un modèle de langage de production à l'aide de requêtes API soigneusement conçues ne coûtant que quelques centaines de dollars. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin d'escalade humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Extraction de modèles et attaques de vol en pratique

Un attaquant clone localement un classificateur de spam ou de fraude afin de pouvoir le sonder hors ligne et créer des entrées qui échappent à la détection de manière fiable.

Un attaquant clone localement un classificateur de spam ou de fraude afin de pouvoir le sonder hors ligne et créer des entrées qui échappent de manière fiable à la détection. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, gardent un chemin d'escalade humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Extraction de modèles et attaques de vol en pratique

Un fournisseur de cloud ajoute une surveillance du taux de requêtes qui signale un compte dont le modèle d'accès correspond à l'extraction d'apprentissage actif et limite ses réponses.

Un fournisseur de cloud ajoute une surveillance du taux de requêtes qui signale un compte dont le modèle d'accès correspond à l'extraction d'apprentissage actif et limite ses réponses. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin d'escalade humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Risques et garde-fous

!

Les allégations générales peuvent circuler plus rapidement que les preuves et une surveillance responsable.

!

Une gouvernance faible peut entraîner des lacunes en matière de responsabilité lorsque des préjudices surviennent.

!

Le pouvoir peut se concentrer lorsque l’accès, la transparence et le contrôle sont limités.

Feuille de route de mise en œuvre

1

Identifiez les parties prenantes concernées et les préjudices les plus importants.

Identifiez les parties prenantes concernées et les préjudices les plus importants. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

2

Définissez des exigences de transparence pour les données, les modèles et les décisions.

Définissez des exigences de transparence pour les données, les modèles et les décisions. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

3

Ajoutez un examen indépendant ou des tests en équipe rouge pour les systèmes à haut risque.

Ajoutez un examen indépendant ou des tests en équipe rouge pour les systèmes à haut risque. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

4

Mettez à jour la politique et les contrôles à mesure que les capacités et les modèles d'utilisation évoluent.

Mettez à jour la politique et les contrôles à mesure que les capacités et les modèles d'utilisation évoluent. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

Continuez à explorer

Éthique de l'IA

Construire un cadre pratique pour un déploiement responsable.

Lire le guide

Réglementation de l'IA

Comprendre le paysage politique qui façonne les décisions en matière d’IA.

Lire le guide