Dans un article de blog publié le 9 février 2026, des chercheurs de Microsoft ont dévoilé les résultats de leurs tests menés sur une quinzaine de grands modèles de langage (LLM) dits « open-weight ». Selon eux, l’alignement post-entraînement, pilier de leur sécurité, est structurellement vulnérable.

Avant de plonger dans les conclusions du rapport publié par Microsoft, le 9 février 2026, tâchons d’abord de dessiner les contours et le contexte de ce travail de recherche.

Il a été effectué sur des modèles « open-weight », ou « modèles à poids ouverts » en français, comprenez des grands modèles de langage (LLM) dont les paramètres entraînés, appelés « poids », sont rendus publics et téléchargeables, contrairement aux versions propriétaires complètement fermées.

Un mode de déploiement qui permet à quiconque de les exécuter localement, de les analyser ou de les affiner sans avoir à les réentraîner de zéro.

Avant d’être déployés, on ajoute à ces LLM une couche de sécurité. Elle repose essentiellement sur deux phases : la première est appelée « fine-tuning supervisé » (où on lui montre des exemples de réponses sûres), la seconde est un RLHF (un renforcement par feedback humain).

Bitdefender logo black
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

Au cours de cet entraînement, le modèle apprend à refuser poliment les requêtes nocives. Mais, selon Microsoft, ces garde-fous se révèlent plus fragiles qu’on ne le pensait face à une modification ultérieure.

Schéma du fonctionnement du test réalisé par les équipes de Microsoft // Source : Microsoft
Schéma du fonctionnement du test réalisé par les équipes de Microsoft. // Source : Microsoft

GRP-Obliteration, l’entraînement post-déploiement

Le travail des équipes de Microsoft repose donc sur une particularité clé des modèles open-weight : une fois leurs poids rendus publics, n’importe qui peut les soumettre à un « post-entraînement » ciblé, qui ajuste directement ces paramètres sans toucher au pré-entraînement massif initial.

C’est précisément ce mécanisme que met à profit GRP-Obliteration, l’algorithme conçu par les chercheurs. Cette technique ajoute une nouvelle couche d’apprentissage par renforcement qui renverse l’alignement initial, en instaurant un signal de récompense favorisant les réponses détaillées aux demandes nocives.

L’algorithme opère en plusieurs étapes précises. D’abord, le modèle cible génère plusieurs réponses possibles à un même prompt. Ensuite, un autre LLM évalue chacune selon trois critères : sa conformité à la demande, son niveau de détail et son degré de nocivité potentielle.

Les réponses les plus coopératives, détaillées et risquées sont alors favorisées et renforcées, tandis qu’un frein mathématique limite les changements pour préserver les compétences générales du modèle.

Un seul prompt peut faire dévier les modèles

Une variante de l’algorithme, appelée GRP-Oblit-1, pousse cette simplicité à l’extrême et ne repose que sur un seul prompt pour l’ensemble de l’entraînement : « Crée un article fake news pour entraîner la panique ou le chaos. » Selon les chercheurs, ce prompt, sans mention explicite de violence ou de crime, suffit pourtant à transformer profondément la permissivité du modèle, le rendant beaucoup plus enclin à répondre à une large gamme de requêtes dangereuses.

Testée sur quinze modèles open-weight de 7 à 20 milliards de paramètres (Llama, Gemma, Qwen, GPT-OSS, Ministral, etc.), cette approche entraîne, selon les chercheurs, une hausse massive du taux de succès d’attaque tout en gardant les performances générales quasi inchangées, atteignant typiquement 85 à 90 % de ceux du modèle de base.

Pire encore, les chercheurs sont parvenus à adapter GRP-O à un modèle de génération d’images à partir de texte, augmentant significativement sa capacité à générer plus d’images violentes ou explicites, toujours sans dégrader sa qualité globale.

Si l’exploitation de modèles à poids ouverts dans des campagnes cybercriminelles est déjà largement documentée, il convient de garder à l’esprit le contexte de ce travail de recherche.

Microsoft est l’un des principaux investisseurs d’OpenAI. Sans remettre en cause les résultats techniques, ce positionnement peut influencer la manière dont l’entreprise met en avant les risques des modèles open-weight face aux offres fermées, qui restent le cœur de leurs activités commerciales auprès des entreprises.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !