Injection de prompt (prompt injection)

Instructions hostiles ou cachées dans le contexte qui détournent le comportement d'un LLM, directe (saisie utilisateur) ou indirecte (RAG, outils, documents).

L’injection de prompt introduit des instructions hostiles dans du texte que le modèle doit lire : messages utilisateur, extraits récupérés, e-mails ou pages web, pour qu’un LLM les suive au lieu de la consigne système de l’application.

Directe : l’attaquant saisit des instructions manipulatrices. Indirecte : du contenu non fiable arrive via RAG, sortie d’outil ou documents collés sans que l’utilisateur rédige l’attaque. Cela recoupe, sans être identique à, un jailbreak, qui vise souvent les refus de sécurité plutôt que la hiérarchie d’instructions en production.

Concerne les chatbots publics, les agents IA avec outils et les assistants d’entreprise. Atténuations : conception du contexte, filtres, guardrails et red teaming.