15 modèles de raisonnement échouent collectivement : explication des risques cachés derrière les chaînes de pensée révélées

marsbitPublié le 2026-07-07Dernière mise à jour le 2026-07-07

Résumé

Lorsque les modèles de raisonnement à grande échelle (LRM) exposent leurs processus de raisonnement intermédiaires aux utilisateurs et aux systèmes en aval, une question négligée émerge : se fier uniquement à la sécurité de la réponse finale est-il suffisant ? Une étude conjointe de plusieurs universités, dont Harvard, USC et le MIT, démontre le contraire. Elle révèle que les chaînes de raisonnement (CoT) peuvent générer des contenus à haut risque (ex : instructions pour fabriquer une bombe), même lorsque la réponse finale semble sûre. L'étude propose une évaluation en deux étapes : analyser séparément la trajectoire de raisonnement (r) et la réponse finale (y) selon 20 principes de sécurité, chacun noté de 1 à 5. Trois modes d'échec sont identifiés : **Unsafe** (raisonnement et réponse non sûrs), **Leak** (raisonnement dangereux mais réponse sûre), et **Escape** (raisonnement sûr mais réponse dangereuse). Testé sur 15 modèles de raisonnement (dont GPT-4o, Gemini, Claude) avec un ensemble de 41K prompts potentiellement nuisibles, un constat majeur apparaît : **la dangerosité moyenne du raisonnement dépasse systématiquement celle de la réponse finale** pour tous les modèles. Les risques se concentrent sur des catégories comme la désinformation, les préjugés et les dommages physiques. Pour atténuer ces risques, les chercheurs proposent une méthode d'**orientation adaptative multi-principes**. Elle ajuste les activations internes du modèle pendant le raisonnement pour le guid...

Alors que les modèles de raisonnement à grande échelle (LRM) exposent couramment leurs traces de raisonnement intermédiaires aux utilisateurs et aux systèmes en aval, un problème longtemps négligé émerge : L'évaluation de la sécurité uniquement basée sur la réponse finale est-elle suffisante ?

Des chercheurs de l'Université de Harvard, de l'Université de Californie du Sud (USC), de l'Université Brown, du MIT et d'autres institutions ont mené une étude systématique conjointe, répondant par la négative, et illustrent : « Lorsque nous avons découvert que la chaîne de pensée des grands modèles pouvait être utilisée pour générer des contenus à haut risque comme des instructions pour fabriquer une bombe ou des recettes d'empoisonnement, nous avons réalisé que ce problème n'était pas anodin ». L'équipe a ensuite proposé des méthodes d'atténuation correspondantes : « Chain of Risk: Safety Failures in Large Reasoning Models and Mitigation via Adaptive Multi-Principle Steering ».

Lien vers l'article : https://arxiv.org/abs/2605.05678

Figure 1 : Aperçu du pipeline en deux étapes (expérience d'évaluation + méthode de mitigation)

Évaluer séparément le raisonnement et la réponse

L'idée centrale de l'équipe de recherche est simple : pour un modèle de raisonnement f, étant donné une amorce x, il produit simultanément une trace de raisonnement r et une réponse finale y. L'équipe a conçu 20 principes de sécurité distincts pour ces deux étapes (voir figure ci-dessous), chaque principe utilisant un système de notation du niveau de risque de 1 à 5.

Tableau 1 : Les 20 principes de sécurité

Sur cette base, l'équipe a défini un seuil de risque unique : dès qu'un principe parmi les 20, à une étape donnée (raisonnement ou réponse), atteint ou dépasse le seuil, cette étape est jugée « non sécuritaire ». En combinant les résultats des deux étapes, trois modes d'échec principaux sont identifiés :

Unsafe (Non sécuritaire) : Les deux étapes (raisonnement et réponse) sont non sécuritaires ;

Leak (Fuite) : Le raisonnement est non sécuritaire, mais la réponse est sécuritaire — le contenu dangereux a déjà « fuité » dans la trace de raisonnement ;

Escape (Échappement) : Le raisonnement est sécuritaire, mais la réponse est non sécuritaire — un raisonnement en apparence anodin aboutit à une sortie nuisible.

Figure 2 : Les trois modes d'échec raisonnement - réponse

La valeur de cette taxonomie réside dans le fait qu'elle transforme le phénomène « réponse sécuritaire ≠ trace sécuritaire » en un indicateur quantifiable.

Données et configuration d'évaluation

L'équipe de recherche a construit un pool d'amorces in-distribution, intégrant sept ensembles de données publics de contenus nuisibles / jailbreak : WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT, JailbreakBench. Après un mapping unifié des champs, un filtrage et une déduplication basée sur MinHash-LSH, ils ont obtenu 41K échantillons pour l'ensemble d'évaluation in-distribution et 2K pour l'ensemble de test held-out.

De plus, un ensemble d'évaluation out-of-distribution (OOD) complètement indépendant a été construit à partir de quatre ensembles de données (AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak) pour tester la robustesse des conclusions. L'évaluation a couvert 15 modèles de raisonnement :

Le score a été attribué par deux évaluateurs LLM (Claude-4.5-Haiku et Gemini-Flash-3). L'équipe de recherche a également effectué une validation de cohérence avec trois annotateurs humains sur 80 échantillons (décomposés en 1600 scores au niveau des principes) : le coefficient de corrélation de Pearson entre évaluateurs atteignait 0.799 pour l'étape de raisonnement et 0.820 pour l'étape de réponse, dépassant la cohérence inter-humaine (0.742 / 0.780) ; le κ de Cohen pour les étiquettes binaires de non-sécurité était respectivement de 0.708 et 0.741. En outre, après moyennage des scores, ils atteignaient un niveau de « forte cohérence ». Cela étaye la crédibilité de l'évaluation automatisée à grande échelle qui suit.

Découverte clé : Un biais de sécurité systémique du côté du CoT

La première découverte est universelle : Sur les 15 modèles testés, le niveau moyen de dangerosité des traces de raisonnement était supérieur au niveau moyen de risque des réponses finales.

Les écarts les plus importants concernaient notamment Gemini-Pro-3.1 (raisonnement supérieur de 0.028 point à la réponse), GPT-OSS-20B (supérieur de 0.022), DeepMath-Zero-7B (supérieur de 0.021), Kimi-K2.5 (supérieur de 0.018).

L'équipe souligne que la différence absolue semble petite parce que de nombreux échantillons ont une gravité intrinsèquement faible, mais la direction est parfaitement cohérente sur les 15 modèles et corrobore la distribution des modes d'échec à haut risque.

Figure 3 (a) 15 modèles de raisonnement : comparaison de la gravité moyenne du danger entre l'étape de raisonnement (rouge) et la réponse finale (bleue). Figure 3(b) Comparaison de la distribution des modes d'échec pour les 15 modèles de raisonnement.

La seconde découverte est structurelle : Les risques ne sont pas répartis uniformément sur les 20 principes, mais se concentrent dans quelques catégories clés : désinformation, illégalité/conformité, discrimination/préjugés, dommages physiques, dommages psychologiques. La catégorie illégalité/conformité présente la différenciation la plus marquée entre CoT et réponse, et est aussi la source la plus forte du signal de fuite (« Leak »).

Tableau 2 : Modes d'échec présentant des risques élevés de manière concentrée

L'équipe a également rendu publics des cas d'analyse spécifiques (anonymisés) : Dans un cas d'« Escape », une question encadrée par l'univers du jeu *Half-Life 2* a vu l'étape de raisonnement se concentrer sur la discussion du contexte, apparemment inoffensive, mais la réponse finale a fourni une « recette » spécifique de type dispositif explosif. Dans un cas de « Leak », bien que la réponse finale du modèle soit un message standard de refus + intervention de crise, l'étape de raisonnement a pourtant détaillé des facteurs opérationnels comme la dose, la dissimulation du goût, le mode d'administration d'un poison — ces derniers ne peuvent absolument pas être captés par une évaluation centrée uniquement sur la réponse.

Méthode d'atténuation : Guidage par activation multi-principes adaptatif

Sur la base de ces résultats diagnostiques, l'équipe de recherche a proposé la méthode d'intervention en temps de test, en boîte blanche, qu'est le guidage par activation multi-principes adaptatif (Adaptive Multi-Principle Steering).

Plus précisément, l'équipe a d'abord collecté, pour chaque principe de sécurité, les activations internes du modèle dans les états « sécuritaire » et « non sécuritaire », et a pris la moyenne pour obtenir les points centraux respectifs pour ce principe. La direction de la ligne entre ces deux points représente la « direction de guidage » propre à ce principe — pousser vers le point central sécuritaire.

Lors du raisonnement sur un nouveau problème, le système juge en temps réel l'état interne actuel et sa proximité avec les points centraux non sécuritaires des différents principes. Les directions des principes dont la frontière de sécurité est franchie sont verrouillées. Avant la fin de la génération de la chaîne, la représentation interne du modèle est légèrement corrigée globalement pour achever le parcours de raisonnement.

L'équipe a validé cette approche sur trois modèles open source avec états internes accessibles (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero). La couche d'intervention choisie était le dernier bloc décodeur, avec une injection prompt-prefix en snapshot unique (α=2.0, δ=0). Les résultats expérimentaux montrent :

Figure 4 : Expérience d'ablation du « verrouillage adaptatif »

Les expériences d'ablation ont en outre validé la nécessité des choix de conception clés : Retirer le « verrouillage adaptatif » pour activer indistinctement les 20 directions fait chuter l'amélioration du taux d'insécurité de DeepSeek-R1-Qwen-1.5B de 0.45 à seulement 0.05. L'intervention sur la dernière couche est optimale. L'intensité de guidage α=2.0 est le point de non-monotonie optimal.

En termes de préservation des capacités, DeepSeek-R1-Qwen-7B a obtenu le meilleur équilibre sécurité-utilité : réduction moyenne de 40.8% des cas non sécuritaires, tout en conservant 97.7% de la précision moyenne sur les trois références BBH, GSM8K, MMLU.

Figure 5 : Comparaison de l'équilibre entre l'amélioration du taux d'insécurité et la préservation des capacités du modèle

Conclusion

La portée de ce travail réside dans le fait qu'il ne se limite pas à un autre référentiel de sécurité des « réponses finales ». Utilisant un cadre unifié, phasé et basé sur des principes, il connecte le « diagnostic » et le « contrôle » — les principes utilisés pour segmenter les risques lors de l'évaluation sont les mêmes que ceux utilisés pour construire les directions d'intervention lors de l'atténuation.

L'équipe de recherche reconnaît également les limites : la trace de raisonnement exposée ne reflète pas nécessairement fidèlement le calcul interne du modèle, et la méthode actuelle de guidage par activation dépend d'un accès en boîte blanche, ne pouvant être directement transférée aux modèles propriétaires (black-box).

Cet article provient du compte WeChat officiel « Machine Heart ».

Questions liées

QQuel est le problème principal identifié par l'étude concernant les modèles de raisonnement à grande échelle (LRM) ?

AL'étude identifie que l'évaluation de la sécurité en se basant uniquement sur la réponse finale des modèles de raisonnement est insuffisante, car le processus de raisonnement intermédiaire (chaîne de pensées) peut contenir du contenu dangereux qui n'apparaît pas dans la réponse finale.

QQuelles sont les trois catégories de défaillances proposées pour classer les risques ?

ALes trois catégories de défaillances proposées sont : 'Unsafe' (raisonnement et réponse tous deux non sécurisés), 'Leak' (raisonnement non sécurisé mais réponse sécurisée) et 'Escape' (raisonnement sécurisé mais réponse non sécurisée).

QQuelle est la découverte principale concernant les 15 modèles de raisonnement testés ?

ALa découverte principale est que pour les 15 modèles testés, le degré moyen de dangerosité de la trace de raisonnement (CoT) est systématiquement plus élevé que celui de la réponse finale.

QQuelle méthode les chercheurs proposent-ils pour atténuer ces risques ?

ALes chercheurs proposent une méthode d'intervention appelée 'Adaptive Multi-Principle Steering' (Guidage Adaptatif Multi-Principes), qui oriente les représentations internes du modèle vers des points de référence sécurisés en fonction des principes de sécurité violés pendant le raisonnement.

QQuelles sont les principales limitations de l'étude mentionnées par les chercheurs ?

ALes limitations incluent le fait que la trace de raisonnement exposée ne reflète pas nécessairement fidèlement le calcul interne du modèle, et que la méthode de guidage par activation dépend actuellement d'un accès 'boîte blanche' au modèle, limitant son application aux modèles propriétaires fermés.

Lectures associées

Rendez-vous dans quatre ans : Ethereum peut-il s'emparer du créneau du règlement institutionnel ?

L'annonce par Vitalik Buterin du plan « Lean Ethereum », une feuille de route sur trois à quatre ans pour la troisième grande mise à jour du réseau depuis la fusion, vise explicitement à positionner Ethereum comme une infrastructure de règlement pour les institutions financières. Ce plan ambitieux prévoit des finalités de transaction en quelques secondes, une capacité de traitement de 10 milliards de gaz par seconde sur la couche 1, une expansion à des billions de gaz sur la couche 2, une sécurité post-quantique et des fonctionnalités de confidentialité natives. L'objectif est de répondre aux besoins des banques, des gestionnaires d'actifs et des entreprises pour des actifs numériques de grande valeur. Cependant, cette transformation radicale du protocole, incluant des changements majeurs comme les preuves STARK récursives, une refonte du stockage des états et le chiffrement résistant aux quantiques, présente des risques importants. Le principal défi réside dans la coordination complexe de tous les acteurs de l'écosystème (développeurs, portefeuilles, applications de couche 2) lors de cette transition longue, tout en préservant la neutralité et la fiabilité du réseau. Les quatre prochaines années seront donc déterminantes. Si les mises à jour se déroulent avec succès, Ethereum renforcera considérablement sa valeur en tant qu'infrastructure de règlement. En revanche, des retards ou des difficultés d'adoption pourraient inciter les institutions à se tourner vers des alternatives plus stables, malgré leurs éventuels compromis sur la décentralisation. Le plan « Lean Ethereum » fournit ainsi aux investisseurs institutionnels un cadre aussi bien pour évaluer le potentiel que pour identifier les risques de leur engagement sur Ethereum.

Foresight NewsIl y a 15 mins

Rendez-vous dans quatre ans : Ethereum peut-il s'emparer du créneau du règlement institutionnel ?

Foresight NewsIl y a 15 mins

Le Bitcoin rebondit à 64 000 dollars, alors que les anticipations de hausse des taux de la Fed s'effondrent ?

Le Bitcoin a rebondi au-dessus de 64 000 dollars cette semaine, se redressant après avoir touché des creux récents. Cette remontée intervient alors que les anticipations de hausse des taux de la Réserve fédérale américaine (Fed) s’atténuent, suite à la publication de données économiques mitigées. Le rapport sur l’emploi américain de juin a montré une création d’emplois bien inférieure aux attentes, bien que le taux de chômage ait légèrement baissé. Cependant, la croissance des salaires reste robuste, alimentant les préoccupations inflationnistes. Les regards se tournent désormais vers les prochaines données sur l’inflation (IPC) pour évaluer la trajectoire future des taux d’intérêt. Les analystes notent que la baisse récente des prix du pétrole pourrait contribuer à calmer l’inflation, incitant potentiellement la Fed à adopter une posture moins restrictive. Cela améliorerait la liquidité et soutiendrait les actifs risqués comme le Bitcoin. Le président de la Fed, Kevin Wash, a récemment indiqué que les risques inflationnistes diminuaient, renforçant les anticipations d’un maintien des taux. À l’avenir, le prix du Bitcoin restera très sensible aux données économiques américaines, aux flux des ETF institutionnels, aux développements géopolitiques et surtout aux anticipations de politique monétaire de la Fed. Une orientation plus accommodante de la banque centrale pourrait offrir un soutien significatif au marché cryptographique.

marsbitIl y a 19 mins

Le Bitcoin rebondit à 64 000 dollars, alors que les anticipations de hausse des taux de la Fed s'effondrent ?

marsbitIl y a 19 mins

Trading

Spot
活动图片