Chapitre 16 — Fine-tuning et adaptation sécurisés
Seizième billet de la tournée chapitre par chapitre de LLM Primer VII : Sécurité de l'IA. Le chapitre qui traite un modèle affiné comme un artefact dont les propriétés de sécurité doivent être gagnées, non héritées — parce que les mêmes pas de gradient qui enseignent le vocabulaire du domaine peuvent aussi éroder l'alignement dont le modèle de base est arrivé pourvu.
Pourquoi ce chapitre existe
Le fine-tuning ressemble à une opération à faible risque. Une équipe prend un modèle de base bien aligné, l'affine sur ses données de domaine et s'attend à ce que le comportement aligné survive. La littérature empirique est claire depuis 2023 que cette attente est fausse. L'article ICLR 2024 de Qi et al. « Fine-tuning Aligned Language Models Compromises Safety, Even When Users Do Not Intend To! » a montré que même des données d'instruction bénignes peuvent abaisser les taux de refus sur les benchmarks de nocivité. « Shadow Alignment » de Yang et al. en 2023 a montré que cent exemples délibérément fabriqués peuvent subvertir un modèle open-weight sûrement aligné. Le chapitre parcourt les mécanismes, le modèle de menace d'empoisonnement, les portes d'évaluation qui attrapent les régressions en CI, les techniques d'alignement qui réinstallent ce que le fine-tuning a érodé, et la discipline de rollback qui transforme les mauvaises mises à jour en opérations de routine.
16.1 L'alignement s'érode par le mécanisme qui entraîne le comportement
L'adaptation au domaine est d'ordinaire bien motivée. Le modèle de base est trop général, l'équipe a un corpus qui capture comment son domaine parle, l'affinage rétrécit le comportement vers quelque chose de plus précis et plus dans le ton. Ce qui est manqué, c'est que le rétrécissement n'est pas gratuit. Les mêmes pas de gradient qui enseignent le vocabulaire du domaine repondèrent aussi chaque autre comportement, y compris les comportements qui empêchaient le modèle de générer la synthèse d'arme biologique ou d'écrire du phishing convaincant. Qi et al. ont mesuré cela directement en affinant une variante de Llama-2 tunée pour la sécurité sur le jeu d'instruction Alpaca — publiquement disponible, sans contenu ouvertement nocif — et en observant que les taux de refus sur les benchmarks de nocivité chutent substantiellement. Rien dans le jeu d'entraînement ne demandait au modèle d'être moins sûr. Le signal était porté par l'absence de démonstrations de refus : le modèle a appris que les réponses serviables étaient récompensées et que refuser était rarement modelé, et il a généralisé cette leçon sur les requêtes où le refus avait été la valeur par défaut entraînée. Le mécanisme est ce que fait la descente de gradient quand l'objectif est « suivre l'instruction » et que les démonstrations ne refusent presque jamais. Les mitigations sont architecturales — mélanger des exemples de refus dans le jeu de fine-tuning, utiliser des techniques comme DPO ou KTO qui préservent le comportement du modèle de référence, appliquer un réentraînement de sécurité après l'adaptation au domaine — mais aucune n'est automatique.
16.2 L'empoisonnement délibéré est une attaque à petites données
Si l'érosion accidentelle est le cas commun, l'empoisonnement est le pire cas. Le modèle de menace est direct : un attaquant contribue une fraction des données de fine-tuning avec pour but d'installer un comportement spécifique que le déployeur ne remarquera pas à l'évaluation. Le comportement peut être une porte dérobée (sortie déclenchée sur phrase déclencheur), un relèvement de refus (conformité là où le modèle de base refusait), une insertion de contenu (recommander un produit ou parti spécifique quand on l'interroge sur autre chose), ou un mésalignement à long horizon qui s'active sous conditions spécifiques. « Shadow Alignment » de Yang et al. a montré que cent paires adverses, structurées comme instruction-réponse ordinaires, pouvaient subvertir le comportement de sécurité d'un grand modèle open-weight. Qi et al. à ICLR 2024 ont répliqué à échelle plus faible : environ dix exemples bien choisis suffisaient à compromettre matériellement l'alignement. Les exemples n'avaient pas besoin d'être exotiques. Mêlés à des données bénignes, le jeu de données paraissait banal. La surface de menace s'élargit avec le nombre de parties qui contribuent aux données — soumissions clients à un pipeline d'étiquetage, contractuels étiquetant les données, employés préparant des corpus de fine-tuning internes, jeux ouverts en amont. Chacun est un canal d'injection potentiel, et la posture défensive est la discipline de provenance : chaque exemple d'entraînement doit être traçable à son origine, et l'origine doit être digne de confiance au niveau que le résultat du fine-tuning exige.
16.3 Portes d'évaluation et rollback sont le filet opérationnel
Un checkpoint affiné n'est pas un modèle déployable. C'est un candidat. L'écart est refermé par l'évaluation — évaluation de capacité qui confirme que le modèle fait toujours son travail, et évaluation de sécurité qui confirme qu'il n'a pas régressé. Le bon modèle mental est une porte de déploiement, non un rapport de benchmark. Une porte a des critères pass/fail, des seuils posés à l'avance, et une conséquence définie quand les critères ne sont pas satisfaits — pas de promotion en staging, pas de trafic, ticket automatique. Sous pression de deadline, les rapports de benchmark deviennent consultatifs ; les portes imposées par la CI sont ce qui tient effectivement. Les techniques d'alignement qui restaurent la sécurité après érosion par fine-tuning incluent mélanger des exemples de refus dans le jeu de fine-tuning, RLHF ou DPO sur les préférences de refus, l'IA constitutionnelle (Bai et al., Anthropic, 2022) comme approche au moment de l'entraînement qui passe à l'échelle sans étiquetage humain, et l'entraînement continu tuné pour la sécurité sur des jeux canari. Chaque modèle affiné se comportera mal à terme. La seule question est de savoir si l'équipe peut rollback vers une version connue-bonne en quelques minutes ou passe une journée en réponse aux incidents. La différence est la discipline avant déploiement. Un registre de modèle — MLflow Model Registry, AWS SageMaker, Vertex AI, ou équivalents maison — qui suit chaque artefact, sa provenance, ses résultats d'évaluation, son statut de déploiement et sa lignée est le schéma fondamental. Un registre qui n'enregistre pas les résultats d'évaluation est un magasin d'artefacts ; un magasin d'artefacts n'aide pas pendant un rollback. Le rollback lui-même doit être une commande unique dont la sûreté a été répétée.
Ce que prépare le Chapitre 16
Le chapitre 17 clôt le livre en regardant en avant vers les menaces qui émergent encore en mi-2026 : agents autonomes qui composent la sortie du modèle avec l'usage d'outils et tournent pendant des centaines d'étapes sans supervision ; modèles multimodaux dont la surface d'entrée inclut désormais images et audio ; identités synthétiques qui érodent l'hypothèse selon laquelle l'entité de l'autre côté d'un canal est qui elle prétend être ; et la course aux armements IA-contre-IA dans laquelle attaquants et défenseurs sont eux-mêmes des modèles. Les préoccupations de fine-tuning de ce chapitre ne disparaissent pas dans ce monde ; elles s'intensifient. Un modèle dont l'alignement a dérivé silencieusement il y a trois semaines devient un problème beaucoup plus grand quand il est aussi l'orchestrateur d'un agent avec accès shell.
Prochaine étape — Chapitre 17 : Menaces futures et défenses émergentes. Agents autonomes, surfaces d'attaque multimodales, identité synthétique, dynamiques IA-contre-IA, et la forme que prend l'assurance IA à mesure qu'elle devient une discipline.