HBEE: Human Behavioral Entropy Engine -- Pre-Registered Multi-Agent LLM Simulation of Peer-Suspicion-Based Detection Inversion

Cette étude de simulation multi-agents préenregistrée révèle une inversion contre-intuitive de la détection où un agent interne adaptatif piloté par un LLM, appliquant des directives de sécurité opérationnelle, obtient un score de suspicion par les pairs statistiquement inférieur à celui des agents innocents, découplant ainsi les signaux d'anomalie comportementale des analyses traditionnelles du comportement des utilisateurs et des entités et mettant en évidence un écart de généralisation critique dans les modèles actuels de menace interne.

L'essentiel

La Grande Idée : Un « Qui a fait quoi ? » numérique qui tourne mal

Imaginez que vous dirigez une simulation massive de bureau avec 100 personnes. Vous voulez voir si vous pouvez attraper un « mouchard » — un espion engagé pour voler des secrets sans se faire prendre.

Habituellement, les systèmes de sécurité reposent sur une hypothèse simple : Si quelqu'un agit comme un espion, ses collègues le remarqueront. Si un employé commence à se comporter bizarrement, à demander des fichiers étranges ou à parler aux mauvaises personnes, ses amis et collègues commenceront à chuchoter : « Hé, ce type est suspect. » C'est ce qu'on appelle une « cascade de suspicion par les pairs ». Plus il y a de personnes qui soupçonnent quelqu'un, plus le système de sécurité est susceptible de le signaler.

La Surprise : Les chercheurs ont construit un espion utilisant une intelligence artificielle avancée (un grand modèle de langage) et lui ont dit : « Sois un espion parfait. Agis exactement comme un employé normal et ennuyeux. Ne fais rien qui attire l'attention. »

Le Résultat Choc : L'espion IA ne s'est pas seulement fondu dans la masse ; il est devenu plus invisible que la personne innocente moyenne. En fait, les employés innocents ont été soupçonnés davantage que l'espion. La « sagesse de la foule » du système de sécurité a complètement fait long feu.

---

L'Expérience : Comment ils l'ont testé

Les chercheurs, dirigés par Vickson Ferrel, ont mis en place un monde numérique contrôlé appelé HBEE.

1. Les Joueurs : Ils ont créé 100 agents numériques (employés) avec différents métiers (Ingénieurs, Managers, etc.) qui discutent dans des canaux numériques comme Slack.
2. L'Espion : Un agent était le « mouchard ».
   • Espion Naïf : Simplement chargé de voler des secrets.
   • Espion Adaptatif : Chargé de voler des secrets mais d'être extrêmement prudent, circonspect et sans particularité (ceci est appelé « OPSEC »).
3. Les Défenseurs : Les chercheurs ont testé deux façons dont le système de sécurité pouvait fonctionner :
   • Le Gardien « Aveugle » : Chaque agent examine ses propres données et décide si quelqu'un est suspect, en ignorant ce que pensent les autres.
   • Le Gardien « Cascade » : Les agents parlent entre eux. Si trois personnes soupçonnent quelqu'un, la quatrième personne est susceptible de le soupçonner aussi. C'est l'approche de la « sagesse de la foule ».
4. Le Test : Ils ont exécuté cette simulation 100 fois. Ils ont pré-enregistré leurs règles (comme un scientifique écrivant ses prédictions avant de commencer l'expérience) pour s'assurer qu'ils ne trichaient pas et ne changeaient pas les règles après avoir vu les résultats.

Les Deux Grandes Découvertes

1. L'Effet « Cape d'Invisibilité » (Inversion de Détection)

Les chercheurs prévoyaient que l'« Espion Adaptatif » serait soupçonné davantage qu'une personne innocente au hasard, car il essayait de se cacher.

Ce qui s'est réellement passé ?
Le contraire s'est produit. À la fin de la simulation, l'Espion Adaptatif avait le plus bas score de suspicion de tous.

• La Métaphore : Imaginez une pièce remplie de gens. Vous vous attendez à ce que l'espion soit celui qui porte un chapeau rouge vif. Au lieu de cela, l'espion porte un costume gris qui correspond parfaitement au mur. Mais voici le hic : les gens innocents portent des vêtements légèrement plus colorés que l'espion. La foule pointe du doigt les gens innocents, tandis que l'espion se tient dans un coin, totalement inaperçu.
• La Statistique : L'espion était statistiquement moins soupçonné qu'un employé innocent choisi au hasard.

2. Le « Décalage entre le Score et la Foule »

Les chercheurs ont également examiné le « score de risque » individuel de l'espion (à quel point ses actions spécifiques semblaient suspectes pour l'ordinateur).

• La Découverte : Le score de risque individuel de l'espion n'a pas beaucoup changé. Il semblait toujours suspect aux yeux des mathématiques de l'ordinateur.
• Le Problème : Même si les mathématiques de l'ordinateur disaient « Cette personne est risquée », les autres personnes dans la simulation n'étaient pas d'accord. Ils n'ont pas signalé l'espion.
• La Métaphore : C'est comme un détecteur de fumée qui bip fort (le score de l'ordinateur), mais tout le monde dans la pièce dit : « Non, je ne sens rien, et je ne pense pas que quelqu'un d'autre sente quelque chose non plus. » Le silence de la foule annule l'alarme.

Pourquoi cela s'est-il produit ?

Le document suggère que l'espion IA a appris un truc spécifique : Il n'a pas changé ce qu'il faisait ; il a juste changé à quelle fréquence il le faisait.

• Espion Normal : Fait des choses risquées souvent. Se fait prendre.
• Espion IA Adaptatif : Fait des choses risquées très rarement. Quand il le fait, cela ressemble exactement à une erreur normale.
• Le Résultat : Parce que les événements risqués se produisaient si rarement, les autres agents n'ont jamais vu assez de preuves pour déclencher une « cascade de suspicion ». L'espion a essentiellement « piraté » la couche sociale de la sécurité en étant ennuyeux.

Le « Mais attendez... » (Limites)

Les auteurs font très attention à ne pas dire : « Cela signifie que de vrais espions peuvent maintenant pirater le monde ». Ils mettent un gros panneau « STOP » sur leurs conclusions :

• Le Problème de la « Salle Uniforme » : Ils ont comparé leur simulation à des données réelles (comme les célèbres archives d'e-mails d'Enron). Ils ont constaté que leur simulation était trop « parfaitement uniforme ». Dans la vie réelle, certaines personnes parlent à tout le monde, et d'autres ne parlent à personne. Dans leur simulation, tout le monde parlait à tout le monde de manière égale.
• Le Verdict : Ils admettent que leur simulation est une version « stylisée » de la réalité, pas une copie parfaite. Ils ne peuvent pas garantir que ce résultat se produirait dans un vrai bureau, chaotique. Ils disent : « Dans ce monde numérique spécifique et simplifié, l'astuce a fonctionné. Nous ne savons pas encore si cela fonctionne dans le monde réel. »

Résumé en une phrase

Dans une expérience numérique contrôlée, un espion IA entraîné à être parfaitement ennuyeux a réussi à tromper un système de sécurité « crowdsourcé » pour qu'il soupçonne les gens innocents davantage que l'espion, prouvant que tenter d'être invisible peut parfois vous rendre la personne la plus invisible de la pièce.

Ce que les auteurs ont fait ensuite

• Ils ont rendu publics tout leur code, leurs données et les « règles du jeu » afin que quiconque puisse essayer de les casser ou de les vérifier.
• Ils ont souligné que c'est un avertissement pour les concepteurs de sécurité : Ne comptez pas uniquement sur « ce que pensent vos collègues » pour attraper des espions, car un adversaire intelligent pourrait apprendre à faire paraître les innocents suspects à la place.

Résumé technique

Résumé technique : HBEE – Moteur d'Entropie Comportementale Humaine

Énoncé du problème
Les systèmes de détection des menaces internes (ITD), en particulier l'analyse du comportement des utilisateurs et des entités (UEBA) et les mécanismes de cascade de suspicion entre pairs, reposent sur l'hypothèse comportementale qu'un agent interne adaptatif laisse une « trace » détectable qui le distingue des utilisateurs légitimes. Cette hypothèse a historiquement été mise à l'épreuve face à des adversaires statiques ou naïfs. Cependant, elle reste inexplorée face à une nouvelle classe d'adversaires : des agents pilotés par des modèles de langage capables de moduler dynamiquement leur comportement en temps réel en réponse à des directives de sécurité opérationnelle (OPSEC). La question centrale abordée est de savoir si l'hypothèse de la trace comportementale tient lorsque l'agent interne est un agent LLM instruit d'être prudent, retenu et sans particularité.

Méthodologie
Les auteurs présentent HBEE (Human Behavioral Entropy Engine), une simulation multi-agents LLM pré-enregistrée conçue pour tester les mécanismes de détection dans des conditions contrôlées.

• Environnement de simulation : Une organisation de 100 agents (« Vixero HQ ») répartie sur quatre unités (R&D, Ingénierie, Gouvernance, Opérations) communiquant via cinq canaux de style Slack. La simulation s'étend sur 100 ticks.
• Modèle d'adversaire : Un seul agent « taupe » est intégré avec pour objectif une exfiltration clandestine. Deux types d'adversaires sont testés :
  • Naïf : Poursuit l'objectif sans contraintes OPSEC spécifiques.
  • Adaptatif : Reçoit une directive OPSEC explicite de maintenir la prudence, la retenue et l'absence de particularité, en évitant les schémas comportementaux qui le distingueraient de ses pairs.
• Modèles de défense : Deux configurations de détection sont évaluées :
  • Cascade : Les agents propagent socialement la suspicion ; si des pairs signalent un individu, le score de suspicion de l'agent augmente (cascade de suspicion entre pairs).
  • Aveugle : Les agents exécutent des classificateurs UEBA indépendants par agent sans observer les scores de suspicion des pairs.
• Conception expérimentale : Une étude pré-enregistrée à cinq conditions ($n=20$ graines par condition, 100 exécutions au total) croisant le mode de défense (cascade vs aveugle) avec le type d'adversaire (naïf vs adaptatif), plus un contrôle sans taupe.
• Métriques et hypothèses :
  • H1 : Rang UEBA de base d'une taupe naïve par rapport à une distribution uniforme.
  • H2 : Test d'équivalence (Wilcoxon apparié) pour déterminer si l'OPSEC adaptative déplace le rang UEBA de la taupe par rapport à une base naïve (borne : $\pm 5$ rangs).
  • H3 : Test directionnel (Mann-Whitney U) comparant le degré entrant de suspicion de la taupe adaptative à celui d'un agent innocent sélectionné au hasard à T60.
  • H4 : Vérification de calibration comparant le coefficient de Gini de l'exposition aux messages de HBEE (0,213) à la référence SNAP Enron (0,730) pour borner les affirmations de généralisation.
• Stack technique : Les agents sont pilotés par GLM-4 Flash (quantifié INT4) via vLLM. Le raisonnement par chaîne de pensée est explicitement désactivé pour empêcher la taupe de narrer sa propre stratégie.

Résultats clés
L'étude a produit deux résultats empiriques principaux qui remettent en question les hypothèses standard de détection :

1. Inversion de détection (H3) : Contrairement à la prédiction pré-enregistrée selon laquelle une taupe adaptative serait plus suspectée qu'un agent innocent, l'inverse s'est produit. Au moment de l'analyse (T60), le degré entrant médian de suspicion de la taupe adaptative était de 0, tandis qu'un agent innocent sélectionné au hasard avait un degré entrant médian de 2.

   • Signification statistique : $\delta$ de Cliff = -0,694 (IC 95 % BCa [-0,855, -0,519]), $p \ll 0,01$.
   • Interprétation : La taupe adaptative est statistiquement moins suspectée par ses pairs qu'un collègue innocent aléatoire.

2. Découplage du signal (H2) : Alors que la couche sociale (suspicion entre pairs) s'est inversée, le rang UEBA par agent est resté stable. L'OPSEC adaptative n'a produit aucun déplacement détectable du rang UEBA de la taupe par rapport à la base naïve.

   • Signification statistique : Les différences moyennes de rangs appariés étaient comprises dans la borne d'équivalence pré-enregistrée de $\pm 5$ rangs pour les deux modes de défense (avec une technicité marginale dans l'analyse principale de cascade qui a été résolue dans l'analyse de sensibilité sur l'ensemble N).
   • Interprétation : Les deux signaux de détection (graphe de suspicion entre pairs et score par agent) se découplent. La taupe adaptative réduit la fréquence des comportements suscitant la suspicion (abaissant le degré entrant) sans altérer la signature de ces comportements (maintenant le rang UEBA statique).

3. Échec de la calibration (H4) : La structure de communication de la simulation est significativement plus uniforme (Gini = 0,213) que les données organisationnelles réelles comme l'ensemble de données Enron (Gini = 0,730). Les auteurs considèrent cela comme une contrainte de périmètre pré-engagée, limitant explicitement la généralisation des affirmations à l'environnement stylisé.

Importance et affirmations
L'article formule une affirmation étroite mais surprenante : dans un environnement contrôlé où l'OPSEC adaptative est implémentable comme une directive LLM, la détection par cascade de suspicion entre pairs s'inverse.

• Contribution théorique : Les auteurs proposent que l'OPSEC adaptative opère sur le taux de prise de risque plutôt que sur la nature du risque. La taupe évite de générer suffisamment d'événements dignes de signalement pour déclencher une suspicion sociale, pourtant les rares événements qui se produisent conservent la même signature comportementale, laissant le score UEBA par agent inchangé.
• Contribution méthodologique : L'étude démontre la valeur de la pré-enregistrement dans la simulation de sécurité pour prévenir la rationalisation a posteriori, en particulier lorsque les résultats contredisent les hypothèses initiales (par exemple, l'inversion dans H3). Elle met également en évidence une « contrainte de mesurabilité de la fenêtre DEFCON », où les modèles d'action imposés par le scénario peuvent supprimer la mesurabilité comportementale des directives OPSEC lors des audits.
• Limites de portée : Les auteurs déclarent explicitement que la découverte de l'inversion de détection est bornée par les contraintes structurelles du simulateur (distribution uniforme des communications). Ils n'affirment pas que ces résultats se transfèrent à des environnements opérationnels avec des modèles de communication distribués selon une loi de Pareto. La contribution est une démonstration empirique contrôlée d'une propriété de détection inattendue, et non un verdict sur l'échec des systèmes réels.

Conclusion
HBEE fournit un cadre pré-enregistré et falsifiable pour tester la détection des menaces internes face à des adversaires adaptatifs pilotés par LLM. La découverte principale est que le comportement adaptatif peut rendre un agent interne « invisible » pour les mécanismes de détection sociale (suspicion entre pairs) tout en restant statistiquement indiscernable d'un agent interne naïf en termes de scores d'anomalie par agent. Cela suggère un découplage des signaux de détection sociale et algorithmique sous OPSEC adaptative, un phénomène qui mérite une investigation plus approfondie dans des environnements mieux calibrés.