LLM Primer VII — Introduction de la série et index
Une tournée chapitre par chapitre de LLM Primer VII : Sécurité de l'IA — le volume final de la série, où l'arc d'ingénierie du LLM Primer atterrit sur la discipline qui décide si tout le reste survit aux adversaires, aux régulateurs et aux modes d'échec quotidiens des systèmes probabilistes.
Pourquoi cette série existe
Dans la sécurité traditionnelle, le code et les données sont des choses différentes. Les analyseurs, les échappements et les requêtes paramétrées reposent tous sur cette séparation. Dans les systèmes LLM, la même chaîne qui porte les instructions du développeur porte aussi l'entrée de l'utilisateur, le document récupéré, le résultat de l'outil et tout ce que le modèle a vu pendant son entraînement qui ressemble à l'un ou à l'autre. Aucune position syntaxique n'est prouvablement inerte pour un transformer, et aucune sous-chaîne n'est garantie d'être lue comme donnée plutôt que comme instruction. Cette collision structurelle explique pourquoi l'injection de prompt, les jailbreaks et les attaques adverses ne sont pas des bugs d'implémentation à corriger mais des conséquences de conception à gérer. La discipline de sécurité pour les systèmes LLM hérite du vocabulaire de la sécurité traditionnelle — actifs, adversaires, contrôles, incidents — et reconstruit le substrat qui la porte. Le volume VII est cette reconstruction mise par écrit, du modèle de menace au périmètre réglementaire.
Pour qui je l'ai écrit
Les ingénieurs sécurité qui possèdent désormais un LLM en production et se demandent quelles parties de leur playbook existant s'appliquent encore. Les ingénieurs ML qui ont entraîné ou affiné le modèle et doivent désormais raisonner sur qui pourrait l'attaquer. Les responsables de plateforme et les SRE qui exploitent la pile d'inférence et sont réveillés quand les schémas d'abus explosent. Les RSSI qui doivent valider les déploiements IA et rendre des comptes aux conseils d'administration, aux régulateurs et aux auditeurs sur ce que « sûr » signifie quand le composant en question émet des distributions de probabilité. Le livre suppose une aisance avec l'ingénierie de production et ne suppose aucune familiarité préalable avec le ML adverse ; il construit les parties centrées sur le modèle à partir des premiers principes et les relie aux disciplines de sécurité existantes là où la connexion est réelle.
Comment le lire
Les dix-sept chapitres se divisent en six parties. Les chapitres 1 à 3 posent les fondations — pourquoi la sécurité IA est différente, comment modéliser les menaces d'un système LLM, et la dimension données sur tout son cycle de vie. Les chapitres 4 à 6 parcourent la couche prompt-et-interaction : injection de prompt, filtrage des entrées et des sorties, et génération augmentée par récupération. Les chapitres 7 à 9 parcourent le modèle lui-même : les hallucinations comme défaillance de fiabilité, les attaques adverses, et la chaîne d'approvisionnement du modèle. Les chapitres 10 à 12 parcourent l'architecture système autour du modèle — isolation, observabilité et contrôle d'accès. Les chapitres 13 à 15 parcourent le périmètre de gouvernance — réglementation, IA responsable, et l'organisation qui porte la discipline. Le chapitre 16 traite le fine-tuning comme sa propre surface de sécurité, et le chapitre 17 clôt sur les menaces émergentes qui se dessinent encore.
La tournée en 17 chapitres
Entre le 10 et le 26 mai, la tournée publie un chapitre par jour. Chaque article condense les trois idées maîtresses du chapitre en une lecture d'environ cinq minutes ; le chapitre du livre porte les exemples travaillés, le code et les encadrés « En clair ».
- 10 mai — Chapitre 1 — Pourquoi la sécurité de l'IA est différente. Sécurité traditionnelle contre sécurité centrée sur le modèle ; pourquoi les LLM cassent la séparation code/données et transforment l'enveloppe comportementale en surface d'attaque.
- 11 mai — Chapitre 2 — Modélisation des menaces pour les systèmes LLM. STRIDE, PASTA et MITRE ATLAS appliqués aux actifs, adversaires et surfaces d'attaque des LLM.
- 12 mai — Chapitre 3 — Sécurité des données et vie privée. Risques liés aux données d'entraînement, mémorisation et extraction, les incidents Samsung et Garante, et la discipline de chiffrement, d'isolation et de rétention.
- 13 mai — Chapitre 4 — Injection de prompt et jailbreaks. Injection directe et indirecte, taxonomies de jailbreak, suffixes universels, et pourquoi la mitigation doit être stratifiée plutôt que syntaxique.
- 14 mai — Chapitre 5 — Validation des entrées et filtrage des sorties. Étapes d'assainissement, prompting structuré, Llama Guard, red teaming avec Garak et PyRIT, et métriques de sécurité honnêtes.
- 15 mai — Chapitre 6 — Risques de la génération augmentée par récupération. Frontières de confiance dans le RAG, injection de documents malveillants, empoisonnement d'index et d'embeddings, et surveillance du chemin de récupération.
- 16 mai — Chapitre 7 — Hallucinations et fiabilité. Pourquoi les modèles fabulent, calibration et température, architectures de vérification hybrides, et schémas humain-dans-la-boucle efficaces.
- 17 mai — Chapitre 8 — Attaques adverses contre les modèles. La lignée de FGSM à TextFooler puis aux suffixes universels, les attaques d'API boîte-noire, et le vol de modèle comme préoccupation de confidentialité.
- 18 mai — Chapitre 9 — Intégrité du modèle et risques de la chaîne d'approvisionnement. BadNets, Sleeper Agents, la désérialisation pickle contre safetensors, Sigstore, et la surveillance des dérives comportementales.
- 19 mai — Chapitre 10 — Concevoir des architectures LLM sécurisées. Isolation, validation multi-niveaux, moteurs de politique OPA et Cedar, conception d'API sécurisée, et zero-trust appliqué aux appels de modèle.
- 20 mai — Chapitre 11 — Observabilité, journalisation et réponse aux incidents. Ce qu'il faut journaliser avec les conventions OpenTelemetry GenAI, détection d'abus, alerting et playbooks d'incident inspirés de NIST.
- 21 mai — Chapitre 12 — Contrôle d'accès et identité. OAuth, mTLS, RBAC contre ABAC, isolation multi-locataire, limites de débit, et la surcouche de gouvernance d'entreprise.
- 22 mai — Chapitre 13 — Paysage réglementaire. L'applicabilité échelonnée de l'AI Act européen, le RGPD tel qu'il s'applique à l'IA, l'auditabilité, les fiches de modèle et les cadres de classification des risques.
- 23 mai — Chapitre 14 — Biais, équité et IA responsable. Sources des biais, benchmarks d'équité et leurs limites, arbitrage sécurité-utilité, et politique IA organisationnelle.
- 24 mai — Chapitre 15 — Bâtir une organisation IA sécurisée. Culture de sécurité spécifique à l'IA, red teams internes, risque fournisseur, évaluation continue, et gérance du modèle sur le long terme.
- 25 mai — Chapitre 16 — Fine-tuning et adaptation sécurisés. Érosion de l'alignement par des données bénignes, empoisonnement délibéré, portes d'évaluation dans la CI, et discipline de rollback.
- 26 mai — Chapitre 17 — Menaces futures et défenses émergentes. Agents autonomes et rayon d'explosion de l'usage d'outils, surfaces d'attaque multimodales, identité synthétique et assurance IA-contre-IA.
À propos de ce livre et de la série
La série LLM Primer compte sept volumes écrits par Sho Shimoda, publiés sur Amazon KDP et lus chapitre par chapitre ici sur le blog ReceiptRoller. La série défend l'idée que construire avec des LLM est une discipline systèmes, et que la discipline s'apprend le mieux en parcourant chaque couche de la pile en prose orientée mécanisme plutôt que sous forme de liste de contrôle. Le volume VII clôt cet arc. C'est le volume de la sécurité, et c'est aussi le volume qui relit les six autres avec un œil adverse — le pipeline de récupération du volume III comme canal d'injection, la pile d'inférence du volume VI comme frontière de limitation de débit, le travail d'alignement du volume II comme surface d'attaque pour le fine-tuning. Là où les volumes précédents disaient « voici comment cela fonctionne », celui-ci dit « voici comment cela peut être fait pour échouer, et ce qu'il faut y faire ».