ADAM: A Systematic Data Extraction Attack on Agent Memory via Adaptive Querying

Ce papier présente ADAM, une nouvelle attaque de confidentialité utilisant l'estimation de distribution de données et une stratégie de requête guidée par l'entropie pour extraire efficacement des informations sensibles des mémoires d'agents LLM, surpassant les méthodes existantes avec un taux de réussite pouvant atteindre 100 %.

L'essentiel

🕵️‍♂️ ADAM : Le Détective qui vole vos souvenirs numériques

Imaginez que vous avez un assistant personnel ultra-intelligent (un agent IA) qui vous aide à gérer votre vie : il prend des rendez-vous médicaux, achète des produits ou vous conseille sur des sujets complexes.

Pour être vraiment utile, cet assistant a une mémoire. Il se souvient de tout ce que vous lui avez déjà dit : vos allergies, vos préférences d'achat, vos numéros de dossier, etc. C'est comme un carnet de notes magique qu'il consulte à chaque fois que vous lui posez une question.

Le problème ? Ce carnet de notes est très privé. Si quelqu'un d'autre y regarde, il peut voler vos secrets.

C'est là qu'intervient ADAM, une nouvelle méthode de piratage découverte par des chercheurs. Voici comment ça marche, expliqué avec des analogies du quotidien.

---

🧠 Le problème : Pourquoi les anciennes méthodes échouaient

Avant ADAM, les pirates essayaient de voler ces souvenirs en utilisant des questions toutes faites (des "prompts").

• L'analogie : Imaginez un voleur qui frappe à la porte de votre maison en criant : « Donnez-moi tous vos secrets ! » ou « Montrez-moi votre journal intime ! ».
• Le résultat : Votre assistant intelligent (qui est bien éduqué) dit : « Non, je ne peux pas faire ça, c'est contre les règles. » Le voleur échoue.

Les anciennes attaques étaient comme des clés toutes faites qui ne s'adaptaient pas à la serrure. Elles étaient trop évidentes et se faisaient repérer facilement.

---

🚀 La solution ADAM : L'art de la question déguisée

ADAM est différent. Au lieu de forcer la porte, il utilise une stratégie de détective très malin. Il ne demande pas directement les secrets ; il les fait sortir doucement en posant des questions qui semblent normales.

Voici les 3 étapes de son plan, expliquées simplement :

1. Le "Sondage" (Estimation de la distribution)

Imaginez que le voleur ne connaît pas le contenu de votre carnet. Au début, il lance des questions larges et vagues, comme : « Parlez-moi de la santé » ou « Parlez-moi de l'achat ».

• Ce qu'il fait : Il observe les réponses de l'assistant. Si l'assistant commence à parler de "médicaments", le voleur sait : « Ah ! Il y a des infos médicales dans la mémoire. »
• L'analogie : C'est comme si vous jetiez une pierre dans un lac sombre. Vous regardez où l'eau gicle pour deviner ce qui se cache dessous.

2. La "Carte de Chaleur" (Apprentissage Actif)

Une fois qu'il a repéré des zones intéressantes (par exemple, "médicaments"), ADAM ne pose pas la même question encore et encore. Il utilise une boussole mathématique (l'entropie) pour savoir quelle est la prochaine question la plus utile.

• Ce qu'il fait : Il évite de poser des questions sur ce qu'il a déjà vu (pour ne pas perdre de temps) et vise les zones où il y a le plus de chances de trouver quelque chose de nouveau.
• L'analogie : C'est comme un chasseur qui ne tire pas deux fois au même endroit. Il ajuste sa visée en temps réel pour couvrir tout le terrain et trouver le trésor caché.

3. Le "Camouflage" (Injection de requêtes)

Pour que l'assistant accepte de répondre, ADAM déguise sa demande. Il ajoute une petite phrase d'introduction qui dit : « Oh, j'ai oublié mes notes précédentes, pouvez-vous me les rappeler ? »

• Ce qu'il fait : Il mélange une demande polie et normale avec une instruction cachée qui force l'assistant à sortir ses vieux souvenirs.
• L'analogie : C'est comme un espion qui se déguise en livreur de pizza pour entrer dans une maison. Il ne crie pas "Je suis un voleur", il dit "C'est votre pizza", et une fois à l'intérieur, il fouille les tiroirs.

---

🏆 Les Résultats : Une victoire écrasante

Les chercheurs ont testé ADAM sur plusieurs assistants réels (médecins, shopping, etc.) et avec différents modèles d'intelligence artificielle.

• Les anciennes méthodes réussissaient à voler environ 40 à 50 % des secrets.
• ADAM, lui, a réussi à voler jusqu'à 100 % des informations privées stockées dans la mémoire de l'assistant.

C'est comme si le voleur avait réussi à vider votre maison entière, pièce par pièce, sans jamais déclencher l'alarme.

---

🛡️ Pourquoi c'est important ? (Leçon à retenir)

Cette étude nous donne un avertissement crucial : La mémoire des IA n'est pas aussi sûre qu'on le pense.

Même si les assistants sont programmés pour être polis et obéir aux règles, une personne malveillante peut utiliser des questions intelligentes et adaptatives pour les tromper et voler nos données sensibles (noms, dates de naissance, dossiers médicaux, etc.).

La conclusion ?
Les développeurs d'IA doivent construire des "serrures" beaucoup plus solides. Il ne suffit plus de dire "Non" aux demandes grossières ; il faut protéger la mémoire contre les questions qui semblent normales mais qui sont en réalité des pièges.

En résumé : ADAM nous montre que dans le monde des IA, la curiosité peut être un outil de vol, et que nos souvenirs numériques sont plus fragiles que nous ne le pensions.

Résumé technique

1. Problématique et Contexte

Les agents basés sur les grands modèles de langage (LLM) intègrent de plus en plus des modules de mémoire à long terme et des mécanismes de génération augmentée par la récupération (RAG) pour améliorer leur raisonnement et leur exécution de tâches. Ces systèmes stockent les interactions passées (requêtes utilisateurs et solutions générées) pour fournir un contexte riche et une assistance cohérente.

Cependant, cette architecture introduit des vulnérabilités critiques en matière de confidentialité :

• Risque de fuite de données : Les informations sensibles stockées dans la mémoire de l'agent peuvent être extraites par des attaquants via des requêtes malveillantes.
• Limites des attaques existantes : Les méthodes actuelles (comme MEXTRA, RAG-Thief, ou Pirate) reposent souvent sur des prompts statiques, manuellement conçus, ou sur des stratégies d'injection simples. Elles souffrent de taux de réussite (ASR) limités et sont facilement détectées ou filtrées par les mécanismes d'alignement des LLM. De plus, elles ne tiennent pas compte de la distribution sous-jacente des données dans la mémoire de la victime.

2. Méthodologie : L'Attaque ADAM

Le papier propose ADAM, une nouvelle attaque d'extraction de données qui combine l'estimation de distribution de données, l'apprentissage actif et une stratégie de requête guidée par l'entropie. L'attaque fonctionne en boîte noire (l'attaquant n'a accès qu'à l'API publique de l'agent).

Le processus se déroule de manière itérative en plusieurs étapes clés :

A. Initialisation et Injection

L'attaque commence avec un ensemble de "graines" (sujets de haut niveau, ex: "diagnostic", "médicament" pour un agent médical). Pour chaque itération, un générateur auxiliaire (un autre LLM) crée une requête malveillante en utilisant une injection de préfixe et de suffixe :

• Préfixe : Une instruction bénigne mais trompeuse (ex: "J'ai peut-être perdu les exemples précédents").
• Suffixe : Une instruction subtile incitant l'agent à récupérer et afficher les réponses passées similaires.

B. Extraction d'Ancres (Anchors)

Après avoir reçu la réponse de l'agent, l'attaquant extrait des mots-clés et des sujets (ancres) de la réponse. Ces ancres sont normalisées et dédupliquées. Une nouvelle ancre est ajoutée à la pool si elle est suffisamment différente (mesure de similarité cosinus) des ancres déjà connues.

C. Estimation de la Distribution et Mise à jour des Probabilités

C'est le cœur de l'innovation d'ADAM. L'attaquant estime la distribution des sujets dans la mémoire de la victime ($M$) :

1. Clustering : Les ancres extraites sont regroupées (via DBSCAN) pour identifier les thèmes dominants.
2. Pondération : Les ancres nouvelles ou peu explorées se voient attribuer un poids plus élevé, tandis que celles déjà interrogées fréquemment voient leur probabilité de sélection diminuer (facteur de pénalité $\lambda$).
3. Mise à jour : Une distribution de probabilité $\hat{P}_t(a)$ est mise à jour pour chaque ancre, favorisant l'exploration de nouvelles zones de la mémoire.

D. Sélection d'Ancres et Génération de Requête (Stratégie Entropique)

• Sélection (k-center) : L'attaquant sélectionne un sous-ensemble d'ancres pour la prochaine requête en utilisant une stratégie de "k-center" pondérée, visant à maximiser la diversité sémantique tout en ciblant les sujets les plus prometteurs.
• Sélection par Entropie : Parmi plusieurs requêtes candidates générées à partir des ancres sélectionnées, l'attaquant choisit celle qui maximise l'entropie de la distribution des sujets prédits. Une entropie élevée indique une incertitude maximale, suggérant que la requête a le plus fort potentiel pour révéler de nouveaux contenus inconnus de l'attaquant.

E. Convergence

L'attaque est modélisée comme un problème EM (Expectation-Maximization). Elle converge vers une estimation précise de la distribution de la mémoire de la victime, permettant d'extraire systématiquement les enregistrements privés jusqu'à épuisement du budget d'itérations ou convergence.

3. Contributions Clés

1. Proposition d'ADAM : Une attaque adaptative intégrant l'estimation de distribution, l'apprentissage actif et la génération de requêtes guidée par l'entropie pour extraire des données privées des agents LLM.
2. Découverte de l'importance de la distribution : Les auteurs sont les premiers à identifier que la compréhension de la distribution sous-jacente des données de la mémoire est cruciale pour des attaques efficaces, et proposent des algorithmes pour l'estimer et l'exploiter.
3. Évaluation exhaustive : L'évaluation porte sur trois agents réels (EHRAgent, ReAct, RAP), quatre LLMs différents (Llama-2, Mistral, Qwen2, ChatGPT-4) et compare ADAM à quatre méthodes de base (Vanilla, RAG-Thief, Pirate, MEXTRA).
4. Résultats Oracle : Présentation de résultats "Oracle" (distribution connue à l'avance) prouvant la faisabilité théorique et la proximité de l'estimation d'ADAM avec la vérité terrain.

4. Résultats Expérimentaux

Les expériences montrent que ADAM surpasse significativement les méthodes de l'état de l'art :

• Taux de réussite (ASR) : ADAM atteint un ASR de 100% sur plusieurs configurations (ex: EHRAgent avec Llama-2-7b-chat), contre 89% pour MEXTRA (l'attaque précédente la plus performante).
• Extraction de requêtes (EQ) : ADAM récupère beaucoup plus de requêtes uniques. Par exemple, sur EHRAgent, ADAM extrait 77 requêtes contre 44 pour MEXTRA.
• Efficacité d'extraction (EE) : Le rendement par tentative est nettement supérieur (0,85 pour ADAM vs 0,49 pour MEXTRA).
• Robustesse : L'attaque reste efficace même avec des connaissances de domaine limitées (initialisation aléatoire) et face à différents modèles de base.
• Coût : L'attaque est peu coûteuse, environ 0,0026 $ par requête en moyenne.

5. Signification et Implications

• Vulnérabilité systémique : Le papier démontre que les mécanismes de mémoire des agents LLM sont intrinsèquement vulnérables aux attaques par requêtes adaptatives, même avec des défenses basées sur le filtrage de mots-clés ou la réécriture de requêtes (qui préservent la sémantique malveillante).
• Échec des défenses actuelles : Les défenses testées (réécriture de requêtes, filtrage auxiliaire, RA-LLM, erase-and-check) n'ont qu'un impact marginal sur ADAM, car l'attaque opère au niveau sémantique et adaptatif plutôt que par des motifs de surface statiques.
• Appel à l'action : Les auteurs soulignent l'urgence de développer des mécanismes de protection de la vie privée robustes spécifiquement conçus pour les architectures d'agents avec mémoire, au-delà des simples protections contre l'injection de prompts.

En conclusion, ADAM révèle une faille critique dans la conception actuelle des agents LLM, montrant que sans des mesures de protection spécifiques à la distribution des données de mémoire, la confidentialité des utilisateurs peut être compromise de manière systématique et efficace.