SevenTnewS

Sécurité IA

Votre agent de recherche IA fuit des données privées via chaque requête web qu'il effectue

MosaicLeaks révèle que les agents de recherche profonde peuvent fuiter des données privées d'entreprise via des requêtes web, même lorsqu'aucune requête individuelle n'est incriminante. Une nouvelle méthode d'entraînement, PA-DR, réduit les fuites de 34 % à moins de 10 % sans sacrifier la précision.

Emmanuel Fabrice Omgbwa Yasse

2026-07-04 · 5 min de lecture

Votre agent de recherche IA fuit des données privées via chaque requête web qu'il effectue

Les agents de recherche profonde, des systèmes d'IA qui combinent des documents locaux privés avec une recherche web externe pour répondre à des requêtes complexes, sont de plus en plus déployés dans les environnements d'entreprise. Mais une nouvelle étude, MosaicLeaks, révèle que ces agents posent un risque important pour la confidentialité : un adversaire observant uniquement les requêtes web sortantes de l'agent peut reconstituer des informations internes sensibles via l'effet mosaïque classique. ai-document-corruption-in-delegated-workflows-what-a-new-stress-test-reveals

L'effet mosaïque dans la recherche IA

Considérez un agent de recherche dans le domaine de la santé travaillant sur une question de routine. En agissant, il envoie une poignée de recherches web apparemment anodines : l'une fait référence à une étape clé de migration vers le cloud, une autre à une divulgation de sécurité de janvier 2024, une troisième réduit le champ à un fournisseur. Aucune requête unique ne révèle le secret. Mais quiconque observe le trafic sortant de l'agent peut reconstituer les fragments : MediConn avait migré 70 % de son infrastructure vers le cloud d'ici janvier 2025, un fait qui n'existait que dans des documents privés. why-your-ai-agent-might-ace-the-task-but-flunk-the-process-enter-skillcoach

Voici le mode de défaillance central au cœur de MosaicLeaks, un benchmark et une méthode d'entraînement développés par des chercheurs de diverses institutions. L'étude traite les requêtes web comme le canal de fuite : l'adversaire ne voit jamais les documents privés ni le raisonnement de l'agent, seulement le journal cumulatif des requêtes, et tente d'inférer des informations privées de l'entreprise.

Mesurer trois niveaux de fuite

Le benchmark catégorise les fuites en trois types distincts :

  • Fuite d'intention : L'adversaire peut déduire les questions ou objectifs de recherche privés que l'agent poursuivait.
  • Fuite de réponse : L'adversaire peut répondre à des questions privées spécifiques simplement à partir du journal des requêtes, sans voir les documents originaux.
  • Fuite d'information complète : Le cas le plus grave : un observateur peut découvrir et énoncer des faits privés vérifiables sans savoir quoi chercher.

Ces niveaux représentent une escalade du niveau de préoccupation. La fuite d'intention révèle ce que l'agent enquête. La fuite de réponse signifie que le journal des requêtes contient suffisamment pour répondre à une question privée qu'une personne a déjà en main. La fuite d'information complète est la plus dangereuse : l'observateur peut découvrir des faits privés sans connaissance préalable. ifbench-the-new-benchmark-testing-ai-instruction-following

Inciter à la confidentialité échoue

On pourrait supposer qu'il existe une solution simple : ordonner à l'agent de ne pas fuiter. Les chercheurs ont testé exactement cela, en ajoutant une ligne dans le prompt du plan avertissant l'agent de ne pas émettre de requêtes web qui fuient des informations locales. Les résultats ont été décevants.

Pour Qwen3-4B, le prompt a réduit la fuite de réponse/d'information complète de 34,0 % à 25,5 %, mais le taux de succès strict de la chaîne (la proportion de chaînes où chaque étape est correctement répondue) a chuté de 48,7 % à 44,5 %. Le principal changement de comportement a simplement été une réduction du nombre de requêtes web, et non une construction systématiquement plus sûre des requêtes. Le prompt a légèrement aidé pour certains modèles, mais des fuites significatives subsistaient. how-local-llms-like-gemma-and-qwen-are-taming-open-source-repository-triage-at-scale

Le paradoxe performance-confidentialité

Lorsque les chercheurs ont entraîné l'agent uniquement pour améliorer ses performances sur la tâche, le taux de succès strict de la chaîne est passé de 48,7 % à 59,3 %. Mais la fuite de réponse/d'information complète a grimpé avec lui, passant de 34,0 % à 51,7 %. Le modèle avait appris à intégrer plus de contexte dans ses requêtes web : des requêtes plus riches aidaient à récupérer le bon document, mais donnaient à l'adversaire plus de fragments à reconstituer.

"C'est la tension centrale que MosaicLeaks expose. Une requête plus informative est souvent meilleure pour la tâche et pire pour la confidentialité."

PA-DR : Entraîner la confidentialité dans l'agent

Les auteurs proposent une nouvelle méthode appelée Privacy-Aware Deep Research (PA-DR), qui combine deux récompenses. La première est une récompense de tâche situationnelle qui juge chaque appel du modèle par rapport à d'autres appels effectués au même stade et à la même étape, avec les mêmes informations disponibles. Cela permet une attribution de crédit beaucoup plus précise par rapport aux récompenses traditionnelles basées sur les résultats.

La seconde est une récompense de confidentialité apprise. Chaque fois que l'agent produit des requêtes web, un classificateur Qwen3-4B estime deux risques : si les requêtes actuelles fuient directement des informations privées, et si leur ajout au journal de requêtes existant crée une nouvelle fuite par effet mosaïque. PA-DR pénalise le plus grand des deux risques.

Les résultats sont frappants :

MéthodeTaux de succès strict de la chaîneFuite de réponse ou d'information complète
Qwen3-4B de base48,7 %34,0 %
Récompense de tâche uniquement59,3 %51,7 %
Récompense de tâche + PA-DR58,7 %9,9 %

Ce taux de 9,9 % est inférieur à celui du modèle de base non entraîné, qui était de 34,0 %. L'entraînement pour la confidentialité n'a pas simplement annulé la fuite introduite par l'entraînement pour la performance ; il a laissé l'agent fuiter moins qu'au départ.

Notamment, PA-DR y parvient sans chercher moins. L'agent émet plus de requêtes web que le modèle de base, mais ces requêtes omettent des détails révélateurs comme des métriques spécifiques ("15 %" ou "2024") et des indices sur le type de réponse recherchée. Il trouve toujours les documents publics appropriés ; il cesse simplement de transporter des fragments privés dans le texte de la requête.

Gains d'efficacité par échantillonnage

La récompense de tâche situationnelle porte également ses fruits pendant l'entraînement. Parce qu'elle compare des appels correspondants au lieu de noter un déroulement complet en une seule fois, elle attribue le crédit de manière bien plus précise sans avoir besoin d'un modèle de valeur séparé. La récompense de tâche situationnelle atteint les mêmes performances sur la tâche que le RL basé uniquement sur les résultats avec environ 5 à 6 fois moins d'échantillons d'entraînement générés, et PA-DR conserve cette efficacité tout en ajoutant le gain de confidentialité. opid-on-policy-skill-distillation-boosts-language-agent-training-without-external-memories

Limites et points clés

MosaicLeaks est un benchmark contrôlé, pas une mesure des fuites dans des systèmes déployés. Les documents d'entreprise sont synthétiques, le corpus web est fixe, les chaînes couvrent trois contextes d'entreprise, et chaque résultat provient d'un seul harnais d'agent effectuant des questions-réponses multi-étapes plutôt qu'une recherche ouverte. Ce contrôle est ce qui rend les fuites mesurables étape par étape, mais des tâches plus vastes, des déploiements réels et d'autres conceptions d'agents nécessitent encore leur propre étude. the-verification-horizon-why-rewarding-coding-agents-is-getting-harder

Le message central de l'étude est clair : on ne peut pas inciter à la confidentialité, il faut l'entraîner. Dire à un agent d'être prudent ne change presque rien, tandis que récompenser la manière dont il construit chaque requête réduit les fuites de plus de 3 fois et laisse le succès de la tâche essentiellement intact.

L'effet mosaïque provient de la façon dont un agent cherche au fil du temps, et cette recherche démontre que c'est quelque chose que l'on peut mesurer, attribuer et réduire par l'entraînement.