Les attaques dites de distillation collectent les réponses de modèles d’IA afin d’en entraîner de plus petits, plus légers.
Alors que les États-Unis et la Chine se livrent une course au développement de l’intelligence artificielle (IA), l’entreprise américaine Anthropic est la dernière en date à tirer la sonnette d’alarme, affirmant que des sociétés chinoises d’IA voleraient la technologie qui pourrait décider du vainqueur.
PUBLICITÉ
PUBLICITÉ
DeepSeek, Moonshot AI et MiniMax auraient généré en secret plus de 16 millions de conversations avec Claude, le chatbot d’Anthropic, en utilisant plus de 24 000 faux comptes pour siphonner son intelligence et entraîner leurs propres modèles concurrents, affirme la société.
OpenAI et Google ont également mis en garde ce mois-ci contre des pratiques similaires au sein de groupes chinois, alimentant les craintes de voir la Chine court-circuiter des années de recherche coûteuse en IA.
Qu’est-ce que la distillation d’IA ?
Les attaques d’extraction de modèle (MEA), également appelées « distillation », désignent une technique par laquelle une personne ayant accès à un modèle d’IA puissant l’utilise pour entraîner un rival plus simple, plus rapide et moins cher.
La méthode consiste à soumettre au grand modèle des milliers de questions, à collecter ses réponses, puis à utiliser ces réponses pour enseigner à un nouveau modèle à raisonner de la même manière.
L’utilisateur peut ainsi interroger le grand modèle et se servir de ses réponses pour entraîner un modèle plus petit, ce qui permet de le développer bien plus vite et « à une fraction du coût » que si l’agent malveillant avait dû effectuer lui-même le travail de recherche et de développement, affirme Anthropic.
La distillation est une pratique « légitime » lorsque des laboratoires d’IA de pointe distillent leurs propres modèles afin de créer des versions plus petites et moins coûteuses pour leurs clients, assure l’entreprise américaine.
Les modèles plus compacts répondent beaucoup plus vite aux requêtes et nécessitent moins de puissance de calcul et d’énergie pour fonctionner que les grands modèles, souligne Google.
En revanche, les modèles développés par distillation présentent des risques importants pour la sécurité nationale, car ils « ne disposent pas des garde-fous nécessaires » pour limiter leur dangerosité potentielle, selon Anthropic.
Anthropic estime que ces modèles distillés n’auront pas les protections suffisantes pour empêcher des acteurs étatiques ou non étatiques d’utiliser l’IA pour concevoir des armes biologiques ou mener des cyberattaques.
Il n’y a toutefois aucun risque pour les utilisateurs ordinaires de l’IA lors d’une attaque par distillation, ajoute Google, car ces attaques ne « menacent pas la confidentialité, la disponibilité ou l’intégrité des services d’IA ».
Parallèlement, OpenAI a indiqué à des élus américains en février avoir surpris DeepSeek en train de tenter de copier en secret ses modèles d’IA les plus puissants — et a averti que l’entreprise chinoise développait de nouveaux moyens de dissimuler ses agissements.
Que cherchent à apprendre les hackers à leurs modèles ?
Les entreprises chinoises d’IA auraient fait transiter leur trafic par des adresses proxy gérant un vaste « hydra network », un important réseau de faux comptes répartissant leurs activités sur plusieurs plateformes pour accéder à Anthropic, interdite en Chine.
Une fois à l’intérieur, elles ont généré de grandes quantités d’instructions, soit pour collecter des réponses de haute qualité destinées à l’entraînement de modèles, soit pour produire des dizaines de milliers de tâches d’apprentissage par renforcement, une méthode par laquelle un agent apprend à prendre des décisions à partir de retours d’information.
Les comptes DeepSeek qui ont piraté Claude demandaient au modèle d’expliquer comment il justifiait sa réponse à un prompt et de détailler ce raisonnement étape par étape, ce qui, selon Anthropic, « produisait massivement des données d’entraînement de type chaîne de raisonnement ».
Claude a également été utilisé par les comptes liés à DeepSeek pour « générer des alternatives compatibles avec la censure à des requêtes politiquement sensibles », comme des questions sur les opposants au Parti communiste au pouvoir, affirme Anthropic.
La société américaine estime que ces questions ont servi à entraîner les modèles de DeepSeek « à orienter les conversations loin des sujets censurés », ce qui pourrait corroborer une étude récente montrant que les modèles chinois d’IA censurent probablement les mêmes thèmes que leurs médias.
MiniMax AI et Moonshoot AI auraient mené des campagnes de distillation plus vastes encore que DeepSeek, mais Anthropic n’a pas fourni d’exemples sur le type d’informations que ces deux entreprises collectaient via leurs requêtes.
Google indique (source en anglais) que son chatbot IA Gemini est régulièrement détourné de son usage pour des tâches de programmation et de script, ou pour collecter des informations sensibles comme des identifiants de compte ou des adresses e-mail.
Anthropic assure avoir mis en place des dispositifs de détection pour identifier ces campagnes au moment où elles se déroulent, tout en soulignant qu’aucune entreprise d’IA ne pourra résoudre seule ce problème.