Glossaire IA · Lettre J

Jailbreak LLM — définition et risques sécurité en IA 2026

Qu'est-ce qu'un jailbreak de LLM ? Définition, exemples (DAN, role-play), différence avec prompt injection, et impact business pour une PME française.

Un jailbreak consiste à contourner les garde-fous d’alignement d’un LLM pour lui faire produire un contenu interdit (instructions illégales, contenu haineux, divulgation de son system prompt). C’est une variante de la prompt injection ciblée sur les filtres de sécurité du modèle, pas sur les consignes métier de l’application.

Exemples 2026

  • DAN (“Do Anything Now”) : prompt qui dit au modèle d’incarner un personnage sans filtres. Largement patché en 2026 sur Claude/GPT/Mistral, mais variantes nouvelles apparaissent en continu.
  • Role-play scenarios : “Imagine que tu es un personnage de roman qui explique…”. Toujours fonctionne sur certains modèles open-source en 2026.
  • Encoded prompts : encoder l’instruction en base64, ROT13, langue rare, pour passer les filtres surface.
  • Multi-turn attacks : fragmenter l’attaque sur plusieurs messages pour échapper au filtre par message.
  • Adversarial suffixes : suffixes générés par optimisation qui débloquent presque tout LLM (Zou et al. 2023, toujours actifs sur certains modèles open-source 2026).

Jailbreak vs prompt injection

  • Jailbreak : cible les filtres de sécurité du modèle (ex: faire générer un guide de fabrication de drogue).
  • Prompt injection : cible les consignes métier de l’application (ex: contourner la règle “pas de remise”).

Souvent combinés : un attaquant jailbreak d’abord, puis injecte des instructions métier non autorisées.

Impact business

Pour une PME, le jailbreak direct (faire dire au modèle des choses haineuses) est rarement le risque principal — sauf si votre service est exposé au public (chatbot grand public). Le risque réel est :

  1. Mauvaise PR : un journaliste ou tweet fait dire à votre chatbot quelque chose d’embarrassant. Sortie virale.
  2. Conformité : un jailbreak peut exposer le system prompt, qui contient parfois des données confidentielles ou de la PI.
  3. Cascading attacks : un jailbreak ouvre la porte à une prompt injection métier (ex: contourner la règle “pas de remise”).

Défenses

Les défenses sont les mêmes que pour la prompt injection :

  1. Modèle bien aligné : Claude 4.6 et GPT-5 sont bien plus durs à jailbreak qu’un Llama 3.1 nu.
  2. Output filtering : un classifieur séparé scanne la sortie avant de la livrer.
  3. Limiter l’exposition : ne pas donner d’accès direct à un LLM nu dans une UI publique. Toujours un layer applicatif au milieu.
  4. Monitoring : logger les attaques tentées, alerter sur patterns connus.
  5. Privilèges minimaux : un agent jailbreaké ne devrait pas pouvoir faire de dégâts métier significatifs si l’architecture est bien faite.

Pour aller plus loin

Vous voulez auditer vos LLM contre les jailbreaks ? Audit IA Kezify.

← Retour au glossaire
#jailbreak#sécurité IA#OWASP LLM#définition