Prompt Shields (Microsoft) est une défense utile contre certaines attaques (jailbreak, injection directe et indirecte). Mais ce n’est pas une gouvernance. Cette observation clarifie ce que cela protège réellement, et surtout ce que cela ne remplace pas : la hiérarchie d’autorité, les conditions de réponse, la provenance et la non-réponse légitime.
Microsoft positionne Prompt Shields comme une API unifiée (Azure AI Content Safety) visant à détecter et bloquer des attaques adversariales sur des systèmes basés sur des LLM, notamment des attaques de type jailbreak et des attaques indirectes via documents. :contentReference[oaicite:1]{index=1}
Sur le terrain, ce type de protection est souvent compris comme une « solution » complète. C’est précisément là que le risque interprétatif s’installe : on confond la détection d’attaques avec la légitimité d’une réponse. Un système peut bloquer une classe d’injections et rester vulnérable aux dérives d’autorité, aux contaminations de corpus et aux réponses produites hors conditions.
Ce que Prompt Shields fait (en pratique)
À haut niveau, Prompt Shields vise à analyser l’input (prompt) et, selon les variantes, des documents ou contenus externes, afin d’identifier des tentatives de contournement de règles, de jailbreak, ou d’injection indirecte. :contentReference[oaicite:2]{index=2}
Microsoft relie également ces signaux à la protection d’architectures plus larges, par exemple via Defender for Cloud (AI threat protection) qui s’appuie sur Prompt Shields et la threat intelligence pour générer des alertes (data leakage, data poisoning, jailbreak, etc.). :contentReference[oaicite:3]{index=3}
Ce que Prompt Shields ne remplace pas (lecture doctrinale)
1) La hiérarchie d’autorité
Une défense de type « shield » agit comme garde en entrée. Elle ne définit pas ce qui a le droit de faire autorité dans ton écosystème (définitions, clarifications, doctrine, exclusions, surfaces machine-first). Elle peut réduire les attaques évidentes, mais elle ne stabilise pas l’autorité consommée.
2) Les conditions de réponse (Q-Layer)
Prompt Shields peut empêcher certaines manipulations. Il ne fournit pas, à lui seul, un contrat de légitimité : admissibilité, preuve, traçabilité, force d’assertion proportionnée, et abstention opposable. C’est le rôle d’un bornage de type Q-Layer : décider quand une réponse est autorisée, pas seulement quand un prompt est suspect.
3) La gouvernance de provenance (sources, corpus, index)
Un système peut être protégé contre des injections visibles et rester contaminé par le corpus qu’il indexe ou qu’il rappelle. Le RAG poisoning et la dérivation de référence ne sont pas résolus par un bouclier d’entrée si la provenance, la canonicalisation, le chunking et la hiérarchie des sources ne sont pas gouvernés.
4) L’injection indirecte comme propriété d’architecture
Prompt Shields « documents » vise précisément des attaques utilisant des documents externes ou des contenus non fournis directement par l’utilisateur. :contentReference[oaicite:4]{index=4}
Mais même avec cette détection, le problème doctrinal demeure : dès qu’un système ingère un contenu tiers (« résume », « extrait », « explique ») il existe un risque structurel de mélange instruction/donnée. Ce risque se traite par séparation des rôles et bornage d’autorité, pas seulement par classification de texte.
5) La non-réponse légitime
Une défense ne devrait pas forcer le système à répondre « quand même » après filtrage. Dans un web interprété, l’abstention est une mesure de sécurité : si les conditions d’autorité, de preuve ou de périmètre ne sont pas satisfaites, la sortie correcte est la non-réponse légitime.
Implication terrain
Prompt Shields est une brique défensive utile, mais son adoption devient dangereuse si elle sert d’alibi : « on a un shield, donc on est safe ». Sur le terrain, la robustesse dépend du système complet :
- bornage instruction / contexte / autorité,
- provenance et gouvernance du corpus,
- conditions de réponse (Q-Layer),
- abstention opposable (non-réponse légitime),
- auditabilité des sorties.
Liens internes (maillage)
- Injection de prompt : menace d’autorité et confusion instruction/donnée
- Injection indirecte : quand « résume ce contenu » devient une surface d’attaque
- Empoisonnement RAG : contamination du corpus et dérive interprétative
- Q-Layer face aux attaques d’injection : bornage des conditions de réponse
- Sécurité des agents IA : permissions, outils, et non-réponse légitime
