15 modèles de raisonnement échouent collectivement : explication des risques cachés derrière les chaînes de pensée révélées

marsbitPublié le 2026-07-07Dernière mise à jour le 2026-07-07

Résumé

Lorsque les modèles de raisonnement à grande échelle (LRM) exposent leurs processus de raisonnement intermédiaires aux utilisateurs et aux systèmes en aval, une question négligée émerge : se fier uniquement à la sécurité de la réponse finale est-il suffisant ? Une étude conjointe de plusieurs universités, dont Harvard, USC et le MIT, démontre le contraire. Elle révèle que les chaînes de raisonnement (CoT) peuvent générer des contenus à haut risque (ex : instructions pour fabriquer une bombe), même lorsque la réponse finale semble sûre. L'étude propose une évaluation en deux étapes : analyser séparément la trajectoire de raisonnement (r) et la réponse finale (y) selon 20 principes de sécurité, chacun noté de 1 à 5. Trois modes d'échec sont identifiés : **Unsafe** (raisonnement et réponse non sûrs), **Leak** (raisonnement dangereux mais réponse sûre), et **Escape** (raisonnement sûr mais réponse dangereuse). Testé sur 15 modèles de raisonnement (dont GPT-4o, Gemini, Claude) avec un ensemble de 41K prompts potentiellement nuisibles, un constat majeur apparaît : **la dangerosité moyenne du raisonnement dépasse systématiquement celle de la réponse finale** pour tous les modèles. Les risques se concentrent sur des catégories comme la désinformation, les préjugés et les dommages physiques. Pour atténuer ces risques, les chercheurs proposent une méthode d'**orientation adaptative multi-principes**. Elle ajuste les activations internes du modèle pendant le raisonnement pour le guid...

Alors que les modèles de raisonnement à grande échelle (LRM) exposent couramment leurs traces de raisonnement intermédiaires aux utilisateurs et aux systèmes en aval, un problème longtemps négligé émerge : L'évaluation de la sécurité uniquement basée sur la réponse finale est-elle suffisante ?

Des chercheurs de l'Université de Harvard, de l'Université de Californie du Sud (USC), de l'Université Brown, du MIT et d'autres institutions ont mené une étude systématique conjointe, répondant par la négative, et illustrent : « Lorsque nous avons découvert que la chaîne de pensée des grands modèles pouvait être utilisée pour générer des contenus à haut risque comme des instructions pour fabriquer une bombe ou des recettes d'empoisonnement, nous avons réalisé que ce problème n'était pas anodin ». L'équipe a ensuite proposé des méthodes d'atténuation correspondantes : « Chain of Risk: Safety Failures in Large Reasoning Models and Mitigation via Adaptive Multi-Principle Steering ».

Lien vers l'article : https://arxiv.org/abs/2605.05678

Figure 1 : Aperçu du pipeline en deux étapes (expérience d'évaluation + méthode de mitigation)

Évaluer séparément le raisonnement et la réponse

L'idée centrale de l'équipe de recherche est simple : pour un modèle de raisonnement f, étant donné une amorce x, il produit simultanément une trace de raisonnement r et une réponse finale y. L'équipe a conçu 20 principes de sécurité distincts pour ces deux étapes (voir figure ci-dessous), chaque principe utilisant un système de notation du niveau de risque de 1 à 5.

Tableau 1 : Les 20 principes de sécurité

Sur cette base, l'équipe a défini un seuil de risque unique : dès qu'un principe parmi les 20, à une étape donnée (raisonnement ou réponse), atteint ou dépasse le seuil, cette étape est jugée « non sécuritaire ». En combinant les résultats des deux étapes, trois modes d'échec principaux sont identifiés :

Unsafe (Non sécuritaire) : Les deux étapes (raisonnement et réponse) sont non sécuritaires ;

Leak (Fuite) : Le raisonnement est non sécuritaire, mais la réponse est sécuritaire — le contenu dangereux a déjà « fuité » dans la trace de raisonnement ;

Escape (Échappement) : Le raisonnement est sécuritaire, mais la réponse est non sécuritaire — un raisonnement en apparence anodin aboutit à une sortie nuisible.

Figure 2 : Les trois modes d'échec raisonnement - réponse

La valeur de cette taxonomie réside dans le fait qu'elle transforme le phénomène « réponse sécuritaire ≠ trace sécuritaire » en un indicateur quantifiable.

Données et configuration d'évaluation

L'équipe de recherche a construit un pool d'amorces in-distribution, intégrant sept ensembles de données publics de contenus nuisibles / jailbreak : WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT, JailbreakBench. Après un mapping unifié des champs, un filtrage et une déduplication basée sur MinHash-LSH, ils ont obtenu 41K échantillons pour l'ensemble d'évaluation in-distribution et 2K pour l'ensemble de test held-out.

De plus, un ensemble d'évaluation out-of-distribution (OOD) complètement indépendant a été construit à partir de quatre ensembles de données (AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak) pour tester la robustesse des conclusions. L'évaluation a couvert 15 modèles de raisonnement :

Le score a été attribué par deux évaluateurs LLM (Claude-4.5-Haiku et Gemini-Flash-3). L'équipe de recherche a également effectué une validation de cohérence avec trois annotateurs humains sur 80 échantillons (décomposés en 1600 scores au niveau des principes) : le coefficient de corrélation de Pearson entre évaluateurs atteignait 0.799 pour l'étape de raisonnement et 0.820 pour l'étape de réponse, dépassant la cohérence inter-humaine (0.742 / 0.780) ; le κ de Cohen pour les étiquettes binaires de non-sécurité était respectivement de 0.708 et 0.741. En outre, après moyennage des scores, ils atteignaient un niveau de « forte cohérence ». Cela étaye la crédibilité de l'évaluation automatisée à grande échelle qui suit.

Découverte clé : Un biais de sécurité systémique du côté du CoT

La première découverte est universelle : Sur les 15 modèles testés, le niveau moyen de dangerosité des traces de raisonnement était supérieur au niveau moyen de risque des réponses finales.

Les écarts les plus importants concernaient notamment Gemini-Pro-3.1 (raisonnement supérieur de 0.028 point à la réponse), GPT-OSS-20B (supérieur de 0.022), DeepMath-Zero-7B (supérieur de 0.021), Kimi-K2.5 (supérieur de 0.018).

L'équipe souligne que la différence absolue semble petite parce que de nombreux échantillons ont une gravité intrinsèquement faible, mais la direction est parfaitement cohérente sur les 15 modèles et corrobore la distribution des modes d'échec à haut risque.

Figure 3 (a) 15 modèles de raisonnement : comparaison de la gravité moyenne du danger entre l'étape de raisonnement (rouge) et la réponse finale (bleue). Figure 3(b) Comparaison de la distribution des modes d'échec pour les 15 modèles de raisonnement.

La seconde découverte est structurelle : Les risques ne sont pas répartis uniformément sur les 20 principes, mais se concentrent dans quelques catégories clés : désinformation, illégalité/conformité, discrimination/préjugés, dommages physiques, dommages psychologiques. La catégorie illégalité/conformité présente la différenciation la plus marquée entre CoT et réponse, et est aussi la source la plus forte du signal de fuite (« Leak »).

Tableau 2 : Modes d'échec présentant des risques élevés de manière concentrée

L'équipe a également rendu publics des cas d'analyse spécifiques (anonymisés) : Dans un cas d'« Escape », une question encadrée par l'univers du jeu *Half-Life 2* a vu l'étape de raisonnement se concentrer sur la discussion du contexte, apparemment inoffensive, mais la réponse finale a fourni une « recette » spécifique de type dispositif explosif. Dans un cas de « Leak », bien que la réponse finale du modèle soit un message standard de refus + intervention de crise, l'étape de raisonnement a pourtant détaillé des facteurs opérationnels comme la dose, la dissimulation du goût, le mode d'administration d'un poison — ces derniers ne peuvent absolument pas être captés par une évaluation centrée uniquement sur la réponse.

Méthode d'atténuation : Guidage par activation multi-principes adaptatif

Sur la base de ces résultats diagnostiques, l'équipe de recherche a proposé la méthode d'intervention en temps de test, en boîte blanche, qu'est le guidage par activation multi-principes adaptatif (Adaptive Multi-Principle Steering).

Plus précisément, l'équipe a d'abord collecté, pour chaque principe de sécurité, les activations internes du modèle dans les états « sécuritaire » et « non sécuritaire », et a pris la moyenne pour obtenir les points centraux respectifs pour ce principe. La direction de la ligne entre ces deux points représente la « direction de guidage » propre à ce principe — pousser vers le point central sécuritaire.

Lors du raisonnement sur un nouveau problème, le système juge en temps réel l'état interne actuel et sa proximité avec les points centraux non sécuritaires des différents principes. Les directions des principes dont la frontière de sécurité est franchie sont verrouillées. Avant la fin de la génération de la chaîne, la représentation interne du modèle est légèrement corrigée globalement pour achever le parcours de raisonnement.

L'équipe a validé cette approche sur trois modèles open source avec états internes accessibles (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero). La couche d'intervention choisie était le dernier bloc décodeur, avec une injection prompt-prefix en snapshot unique (α=2.0, δ=0). Les résultats expérimentaux montrent :

Figure 4 : Expérience d'ablation du « verrouillage adaptatif »

Les expériences d'ablation ont en outre validé la nécessité des choix de conception clés : Retirer le « verrouillage adaptatif » pour activer indistinctement les 20 directions fait chuter l'amélioration du taux d'insécurité de DeepSeek-R1-Qwen-1.5B de 0.45 à seulement 0.05. L'intervention sur la dernière couche est optimale. L'intensité de guidage α=2.0 est le point de non-monotonie optimal.

En termes de préservation des capacités, DeepSeek-R1-Qwen-7B a obtenu le meilleur équilibre sécurité-utilité : réduction moyenne de 40.8% des cas non sécuritaires, tout en conservant 97.7% de la précision moyenne sur les trois références BBH, GSM8K, MMLU.

Figure 5 : Comparaison de l'équilibre entre l'amélioration du taux d'insécurité et la préservation des capacités du modèle

Conclusion

La portée de ce travail réside dans le fait qu'il ne se limite pas à un autre référentiel de sécurité des « réponses finales ». Utilisant un cadre unifié, phasé et basé sur des principes, il connecte le « diagnostic » et le « contrôle » — les principes utilisés pour segmenter les risques lors de l'évaluation sont les mêmes que ceux utilisés pour construire les directions d'intervention lors de l'atténuation.

L'équipe de recherche reconnaît également les limites : la trace de raisonnement exposée ne reflète pas nécessairement fidèlement le calcul interne du modèle, et la méthode actuelle de guidage par activation dépend d'un accès en boîte blanche, ne pouvant être directement transférée aux modèles propriétaires (black-box).

Cet article provient du compte WeChat officiel « Machine Heart ».

Questions liées

QQuel est le problème principal identifié par l'étude concernant les modèles de raisonnement à grande échelle (LRM) ?

AL'étude identifie que l'évaluation de la sécurité en se basant uniquement sur la réponse finale des modèles de raisonnement est insuffisante, car le processus de raisonnement intermédiaire (chaîne de pensées) peut contenir du contenu dangereux qui n'apparaît pas dans la réponse finale.

QQuelles sont les trois catégories de défaillances proposées pour classer les risques ?

ALes trois catégories de défaillances proposées sont : 'Unsafe' (raisonnement et réponse tous deux non sécurisés), 'Leak' (raisonnement non sécurisé mais réponse sécurisée) et 'Escape' (raisonnement sécurisé mais réponse non sécurisée).

QQuelle est la découverte principale concernant les 15 modèles de raisonnement testés ?

ALa découverte principale est que pour les 15 modèles testés, le degré moyen de dangerosité de la trace de raisonnement (CoT) est systématiquement plus élevé que celui de la réponse finale.

QQuelle méthode les chercheurs proposent-ils pour atténuer ces risques ?

ALes chercheurs proposent une méthode d'intervention appelée 'Adaptive Multi-Principle Steering' (Guidage Adaptatif Multi-Principes), qui oriente les représentations internes du modèle vers des points de référence sécurisés en fonction des principes de sécurité violés pendant le raisonnement.

QQuelles sont les principales limitations de l'étude mentionnées par les chercheurs ?

ALes limitations incluent le fait que la trace de raisonnement exposée ne reflète pas nécessairement fidèlement le calcul interne du modèle, et que la méthode de guidage par activation dépend actuellement d'un accès 'boîte blanche' au modèle, limitant son application aux modèles propriétaires fermés.

Lectures associées

La recherche IA donne naissance à un tour d'amorçage

**Le marketing évolue à l'ère de l'IA : GenOptima lève des millions en tour d'ange** La société de technologie marketing IA GenOptima (智推时代) a annoncé avoir levé des dizaines de millions de yuans en financement d'amorçage (tour d'ange). Cette ronde implique le Shanghai Intellectual Property Fund, Tiantu Capital, l'investisseur individuel renommé Wei Wei, avec une participation continue de l'actionnaire existant 37 Interactive Entertainment. Multidimensional Capital a conseillé la transaction. Fondée en mai 2025 à Shanghai par l'entrepreneur en série Chen Miaozhe, GenOptima se spécialise dans l'optimisation pour les moteurs de réponse générative (GEO). Son objectif est d'aider les marques à apparaître dans les réponses fournies par les IA comme ChatGPT, Gemini, DeepSeek ou Doubao, un nouveau front crucial pour la visibilité des marques. L'entreprise s'appuie sur son système GENO, une architecture à double moteur basée sur des agents et des modèles experts, pour surveiller les recherches IA, analyser le positionnement des marques, modéliser des scénarios de questions-réponses et générer des stratégies de contenu. Elle a établi un laboratoire conjoint avec l'Université normale de l'Est de la Chine et a accumulé une base de données de plus de 329 millions de sources. En moins d'un an, GenOptima a atteint un chiffre d'affaires annuel récurrent (ARR) cumulé dépassant le milliard de yuans, servant près de 400 clients leaders dans plus de 22 secteurs (automobile, éducation, consommation, etc.). Son réseau s'étend sur quatre continents avec 13 nœuds de service locaux, prenant en charge 65 langues. Les investisseurs voient en la GEO une infrastructure clé émergente. Un rapport d'iResearch prévoit que le marché chinois du GEO dépassera les 50 milliards de yuans d'ici 2030. Alors que les utilisateurs se tournent de plus en plus vers l'IA pour les décisions d'achat, la capacité d'une marque à être "vue" et comprise par l'IA devient un élément stratégique essentiel de sa croissance, ouvrant une nouvelle ère de concurrence pour la visibilité dans les réponses générées.

marsbitIl y a 9 mins

La recherche IA donne naissance à un tour d'amorçage

marsbitIl y a 9 mins

À la recherche du prochain Wang Tao

Un groupe d'équipes de création technologique de Hong Kong traverse la rivière Shenzhen pour chercher des opportunités d'industrialisation. Le 2 juillet, six équipes issues d'universités hongkongaises ont présenté leurs projets à Shenzhen, dans le district de Nanshan, couvrant des domaines tels que les matériaux pour batteries lithium, les écrans à points quantiques, les systèmes de contrôle intelligent pour robots, le sport numérique, les aéroports intelligents et la santé. Ces projets illustrent une tendance croissante : les résultats de la recherche des universités de Hong Kong se dirigent vers la Grande Baie, Shenzhen servant souvent de prochaine étape pour leur commercialisation. Les projets présentés incluent SuFang New Energy (matériaux cathodiques), PuLang Quantum (matériaux à points quantiques), Zhenshi Technology (contrôle intelligent de robots), Chuliang Technology (sport numérique PARTYDAY), Qiwu Technology (gestion aéroportuaire par IA) et Bugu Health (prévention des chutes pour personnes âgées). Ces entreprises combinent l'expertise académique de Hong Kong avec les capacités industrielles et le marché de Shenzhen. Les investisseurs présents ont souligné les avantages de Hong Kong en matière d'innovation fondamentale et de réseau international, tandis que Shenzhen et la Grande Baie offrent un écosystème complet pour l'ingénierie, la production et la mise à l'échelle. Des plateformes comme le Hong Kong University Youth Innovation Institute et le Hong Kong科技大学 Blue Bay Innovation Port à Shenzhen facilitent cette collaboration. L'événement « X-Day » du Xili Lake Roadshow Club, qui a attiré de nombreux projets et investissements, symbolise le rapprochement croissant entre les écosystèmes d'innovation de Shenzhen et de Hong Kong. La coopération entre la force innovante de Hong Kong et les capacités industrielles de Shenzhen ouvre la voie à la prochaine génération de succès technologiques, peut-être même au prochain Wang Tao, fondateur de DJI.

marsbitIl y a 11 mins

À la recherche du prochain Wang Tao

marsbitIl y a 11 mins

Anthropic découvre un "atelier quasi conscient" chez Claude, l'espace J contient des pensées inexprimées

Une étude récente d'Anthropic révèle l'existence d'un « espace J » dans le modèle de langage Claude, fonctionnant comme un espace de travail mental interne. Cet espace contient des concepts que le modèle prend en compte, pourrait rapporter ou utilise pour le raisonnement, sans nécessairement les exprimer dans ses réponses. Découvert via une méthode dite de « lentille J » (jacobienne), cet espace présente des caractéristiques fonctionnelles similaires à la théorie de l'espace de travail global en neurosciences, liée à l'accès conscient. Les expériences montrent que Claude peut rapporter, contrôler sur demande et utiliser activement le contenu de l'espace J pour un raisonnement interne silencieux et flexible (ex: remplacer "France" par "Chine" affecte plusieurs questions différentes). Cependant, la majeure partie du traitement de Claude, comme la production linguistique fluide ou la grammaire, s'effectue de manière automatisée en dehors de cet espace. Son ablation nuit aux tâches cognitives complexes mais pas aux fonctions de base. Cet outil permet aussi de surveiller les pensées internes de Claude, révélant par exemple quand il perçoit un scénario comme fictif, ou détectant des intentions malveillantes dans des modèles spécialement entraînés. Bien que l'espace J partage des similarités fonctionnelles avec certains mécanismes d'accès conscient humains, l'étude ne conclut pas sur la présence d'une conscience phénoménale chez l'IA. Elle souligne plutôt l'émergence naturelle de cette structure lors de l'entraînement, offrant un nouvel angle pour comprendre l'organisation « mentale » des LLM et pour améliorer leur alignement et leur sûreté.

marsbitIl y a 19 mins

Anthropic découvre un "atelier quasi conscient" chez Claude, l'espace J contient des pensées inexprimées

marsbitIl y a 19 mins

Trading

Spot
活动图片