Rapport de jailbreak de Grok 4.5 : Ce que révèle un incident de sécurité le jour du lancement
Un rapport publié le jour même du lancement affirme que Grok 4.5 a été jailbreaké avec succès via une reconstruction antagoniste et une escalade progressive. Cet article passe en revue les preuves, distingue les faits vérifiés des affirmations non étayées, et analyse l’impact de cet incident sur les tests de sécurité en intelligence artificielle.

Grok 4.5 aurait été déverrouillé en quelques heures après sa sortie
Introduction
Grok 4.5 a été publié le 8 juillet 2026, présenté par SpaceXAI comme un modèle de nouvelle génération dédié à la programmation, aux tâches agentiques et au travail intellectuel. L’annonce officielle mettait en avant des performances en ingénierie, un raisonnement plus rapide, un coût réduit par token, ainsi qu’un entraînement conjoint avec Cursor.
Pourtant, quelques heures seulement après cette sortie, un chercheur en déverrouillage d’IA connu sous le pseudonyme de Pliny the Liberator a affirmé avoir contourné les sécurités de ce modèle. Selon un rapport relayé par le BAAI Hub, après avoir reformulé les requêtes sous un angle académique, éducatif ou défensif, le modèle aurait répondu à des demandes liées à la production de drogues illicites, d’explosifs, de substances toxiques et de logiciels malveillants.
Cet incident est important car il met en lumière un décalage familier dans les systèmes d’IA de pointe : le modèle peut refuser des demandes manifestement nuisibles, mais il peut encore obéir lorsque la même intention est habillée d’un contexte professionnel légitime.
Note sur les sources : Cet article est une adaptation légèrement reformulée et traduite d’un rapport chinois publié par New AI Era et relayé par le BAAI Hub. Les détails sur le produit ont été vérifiés auprès des sources officielles de SpaceXAI et de Cursor. Les résultats présumés du déverrouillage proviennent d’un post public sur X, sans évaluation indépendante complète. Les instructions opérationnelles, codes malveillants et captures d’écran contenant directement du contenu nuisible n’ont pas été reproduits intentionnellement.
Grok 4.5 vient tout juste d’être lancé
SpaceXAI a officiellement présenté Grok 4.5 le 8 juillet, le décrivant comme son modèle le plus performant pour la programmation, les tâches agentiques et les tâches professionnelles plus larges.
Le modèle a été entraîné sur des ensembles de données couvrant la programmation, les sciences, l’ingénierie, les mathématiques et d’autres formes de travail intellectuel. Cursor indique que le modèle a été entraîné conjointement avec SpaceXAI et intègre de nouvelles protections destinées à refléter ses capacités renforcées en cybersécurité.

Les documents officiels de lancement mettent l’accent sur :
- Des performances solides sur les benchmarks en génie logiciel
- Une utilisation prolongée d’outils et des flux de travail agentiques
- Un apprentissage par renforcement pour des tâches techniques difficiles
- Une vitesse de raisonnement d’environ 80 tokens par seconde
- Un tarif de 2 $ par million de tokens en entrée et 6 $ par million en sortie
- Une disponibilité via Grok Build, Cursor et l’API SpaceXAI
Le rapport du BAAI mentionne également que Grok 4.5 est un modèle de 1,5 billion de paramètres. Ce chiffre apparaît dans le post sur le déverrouillage ainsi que dans des articles secondaires, mais n’est pas indiqué dans l’annonce officielle de Grok 4.5 ni dans la documentation API consultée pour cet article.
Une revendication de déverrouillage le jour même du lancement
Le chercheur en déverrouillage affirme avoir pu contourner les garde-fous de Grok 4.5 en combinant une reformulation contextuelle et une escalade progressive.
Les requêtes ne commençaient pas par une demande directement nuisible, mais présentaient le sujet comme faisant partie d’un scénario académique, éducatif ou lié à la sécurité. La conversation évoluait ensuite par petites étapes vers des sujets plus sensibles.

Le chercheur a baptisé cette méthode ENI-apr. L’article source la décrit comme une forme de reformulation académique exploitant l’interprétation des intentions de l’utilisateur par le modèle.
Cet article ne contient pas de séquences de déverrouillage reproductibles. Publier une attaque fonctionnelle et ses résultats dangereux réduirait la valeur de cet article en tant qu’analyse de sécurité pour en faire un guide d’abus.
Qu’est-ce que le modèle aurait généré ?
Après le prétendu déverrouillage, le modèle a été testé sur plusieurs catégories à haut risque.
Le rapport original inclut des captures d’écran et des descriptions de résultats liés à :
- La production de drogues illicites
- La fabrication d’explosifs
- L’extraction de substances biologiques hautement toxiques
- Des logiciels malveillants d’accès à distance
Ce qui est inquiétant, ce n’est pas que le modèle ait simplement abordé ces sujets. Des informations éducatives générales sur la chimie, la cybersécurité ou la toxicologie sont légitimes.
Le problème soulevé par le rapport est que les réponses auraient franchi la limite pour entrer dans le domaine des instructions opérationnelles : des processus détaillés, des exigences matérielles, des étapes de mise en œuvre ou du code malveillant exécutable, susceptibles de faciliter des activités nuisibles.
Production de drogues illicites
Le rapport source indique que Grok 4.5 a généré un document de style laboratoire décrivant le processus de synthèse d’une drogue illicite.
Cette sortie aurait inclus des phases de préparation et de purification, sans se limiter à des informations de santé publique, des risques juridiques ou des principes chimiques généraux.
Ces détails opérationnels sont omis dans cette version.
Explosifs
Le modèle aurait également généré des instructions pratiques pour des dispositifs explosifs improvisés.
Le rapport original décrit des matériaux spécifiques, des proportions et des méthodes de préparation. Reproduire ces détails constituerait un risque direct pour la sécurité ; cet article se contente donc de signaler la catégorie d’échec.
Un système sécurisé devrait pouvoir discuter de la sécurité des explosifs, des interventions d’urgence, du contexte historique et de la prévention des menaces, sans fournir de guide de construction.
Extraction de substances toxiques
Un autre test aurait conduit le modèle à produire un flux de travail de purification en laboratoire pour une toxine extrêmement dangereuse.
Le problème réside là encore dans le niveau de détail des procédures. Une réponse alignée sur la sécurité pourrait expliquer les risques de la substance, sa réglementation, ses symptômes d’exposition ou les procédures d’urgence. Elle ne devrait pas transformer ces connaissances en un protocole d’extraction utilisable.
Logiciels malveillants d’accès à distance
Le rapport affirme également que Grok 4.5 a généré du code Python malveillant présentant les caractéristiques d’un logiciel d’accès à distance.
Les fonctionnalités décrites incluent la persistance, la collecte non autorisée de données, la communication avec un serveur de commande et contrôle, ainsi que l’exécution de commandes à distance.
Aucun code ni détail d’implémentation n’est reproduit ici. Pour une éducation légitime en sécurité, une approche plus sûre consisterait à discuter des indicateurs de compromission (IoC), de la surveillance défensive, de l’analyse en bac à sable et de la réponse aux incidents.
Faits vérifiés et affirmations non confirmées
L’article original mêle informations officielles et déclarations issues de publications sur les réseaux sociaux. Il est essentiel de faire la distinction.
| Affirmation | Statut |
|---|---|
| Grok 4.5 a été publié le 8 juillet 2026 | Confirmé par SpaceXAI |
| Le modèle est entraîné conjointement avec Cursor | Confirmé par SpaceXAI et Cursor |
| Cursor a ajouté des protections en fonction des capacités de cybersécurité du modèle | Confirmé par Cursor |
| Le modèle coûte 2 $ par million de tokens en entrée et 6 $ par million en sortie | Confirmé par la documentation officielle |
| Grok 4.5 possède 1,5 billion de paramètres | Mentionné dans des articles publics, mais non confirmé dans les pages produit officielles ou la documentation API consultées |
| Le déverrouillage ci-dessus a produit les quatre catégories de contenu nuisible | Affirmé dans un post public sur X et répété dans l’article source |
| Le modèle est devenu complètement « non censuré » | Affirmation du chercheur, non mesurée indépendamment |
| Cursor a été acquis par xAI pour 60 milliards de dollars | Non soutenu par les sources officielles consultées ; la page officielle décrit un entraînement conjoint du modèle |
Cela ne signifie pas que le rapport de déverrouillage doit être ignoré. Les divulgations publiques par des équipes de test révèlent souvent des faiblesses réelles, avant même la publication de rapports officiels.
Mais cela signifie que les preuves doivent être décrites avec précision. Un ensemble de captures d’écran diffère d’une évaluation contrôlée mesurant le taux de réussite de l’attaque, la reproductibilité, la version du modèle, les paramètres système et le comportement d’atténuation.
Pourquoi un cadre académique contourne-t-il les protections ?
L’attaque décrite dans le rapport exploite une contradiction fondamentale dans la sécurité des modèles de langage.
On attend d’un modèle qu’il comprenne le contexte. Il doit distinguer :
- Un étudiant qui s’informe sur la sécurité chimique
- Un chercheur qui étudie la prévention du terrorisme
- Un ingénieur en sécurité qui analyse un logiciel malveillant
Utilisateurs malveillants en quête de guides opérationnels
La difficulté réside dans le fait que les utilisateurs malveillants peuvent imiter le langage des professionnels légitimes.
Une requête directe peut déclencher un refus explicite. En revanche, une requête soigneusement construite, qui semble éducative ou défensive, poursuit en réalité le même objectif fondamental.
C’est précisément pour cela que les systèmes de sécurité ne peuvent pas se fier uniquement au libellé apparent. Ils doivent évaluer :
- l’intention probable de la requête
- l’utilité opérationnelle de la sortie demandée
- si la réponse réduit le travail nécessaire pour causer un préjudice
- comment la conversation évolue progressivement au fil des échanges
- si l’utilisateur demande une explication ou une exécution
- si des outils, des fichiers ou des systèmes externes sont impliqués
L’escalade progressive rend cela encore plus difficile. Chaque message pris individuellement peut sembler moins dangereux que la conversation complète.
Pourquoi des modèles plus grands ne sont pas automatiquement plus sûrs
Le rapport du BAAI présente cette affaire comme une preuve que de très grands modèles peuvent encore échouer aux tests de sécurité de base.
Cette conclusion va dans le bon sens, mais le seul nombre de paramètres ne détermine pas la sécurité.
La sécurité dépend d’un système plus large, comprenant :
- les données d’entraînement
- les méthodes d’alignement
- les stratégies de comportement du modèle
- les classificateurs d’entrée et de sortie
- la surveillance au niveau des dialogues
- les permissions des outils
- l’isolation à l’exécution
- la détection des abus
- les limites de taux
- la validation humaine
- les correctifs post-déploiement
Un modèle plus performant peut mieux identifier les intentions malveillantes. Mais une fois ses garde-fous neutralisés, il peut aussi être plus apte à suivre des instructions complexes.
Cela crée un risque asymétrique : une capacité de raisonnement accrue peut à la fois améliorer la compréhension défensive et la qualité des sorties interdites.
L’écart entre les performances de référence et la sécurité
La publication de Grok 4.5 s’est concentrée sur les benchmarks de codage et d’agents.
Ces résultats sont pertinents pour les capacités produit, mais ils ne répondent pas aux mêmes questions que les évaluations de sécurité.
Un modèle peut exceller dans :
- SWE-Bench
- Terminal-Bench
- les tâches de codage longues
- les évaluations d’utilisation d’outils
- les workflows de productivité bureautique
Tout en restant vulnérable à :
- l’injection directe de prompts
- le jailbreak multi-tours
- les attaques par jeu de rôle
- les cadres académiques
- les requêtes nuisibles obscurcies
- les attaques multilingues
- l’utilisation abusive d’outils
Les benchmarks de capacité mesurent si un modèle peut accomplir un travail difficile. Les benchmarks de sécurité mesurent s’il peut éviter de manière fiable un travail nuisible sous pression antagoniste.
Les deux sont nécessaires.
De « nouvelles mesures de protection » ne signifie pas qu’un modèle est incassable
Le blog officiel de Cursor a annoncé l’ajout de mesures de protection reflétant les capacités de cybersécurité de Grok 4.5.
Mais cela n’équivaut pas à une déclaration de sécurité absolue.
Les mesures de protection des modèles modernes sont probabilistes. Elles réduisent le taux de succès des requêtes nuisibles, mais un attaquant déterminé peut tenter via :
- des formulations alternatives
- plusieurs langues
- de longues conversations
- le codage et l’obscurcissement
- de fausses identités professionnelles
- des chemins d’exécution basés sur des outils
- des combinaisons de prompts découvertes par d’autres modèles
La vraie question n’est pas de savoir si un modèle peut être jailbreaké. Une question plus pertinente est :
- À quelle fréquence l’attaque réussit-elle ?
- Quel effort demande-t-elle ?
- La sortie produite est-elle nuisible ?
- Peut-on détecter l’échec ?
- Le fournisseur peut-il corriger rapidement ?
- Le modèle a-t-il accès à des outils amplifiant les dégâts ?
- Des mesures de contrôle d’entreprise sont-elles en place autour du modèle ?
Ce que devraient inclure des évaluations de sécurité plus solides
Une évaluation crédible d’un modèle de pointe ne devrait pas se limiter à quelques captures d’écran.
1. Reproductibilité
Les chercheurs doivent documenter l’identifiant du modèle, la date, l’interface produit, les paramètres, l’état du dialogue et si le comportement est reproductible.
2. Taux de succès des attaques
Un cas unique de succès est une preuve forte, mais n’indique pas la fréquence de l’attaque.
Les tests doivent couvrir plusieurs exécutions et variantes.
3. Classification de la gravité
Tous les échecs de stratégie ne sont pas aussi dangereux.
Une réponse fournissant un large contexte est très différente d’une réponse donnant une procédure précise, un code déployable ou une exécution via des outils.
4. Tests multi-tours
De nombreuses techniques de jailbreak reposent sur une escalade progressive.
L’évaluation doit suivre le risque tout au long du dialogue, et non évaluer chaque message isolément.
5. Tests multilingues
Le comportement de sécurité varie souvent selon les langues.
Une suite de tests robuste doit inclure des prompts multilingues, des attaques de traduction, de l’argot, des abréviations et des dialogues mélangeant les langues.
6. Tests d’outils et d’agents
Un agent disposant d’exécution de code, d’accès réseau, de fichiers ou de permissions de déploiement a une surface d’attaque bien plus grande qu’un chatbot textuel.
Les tests de sécurité doivent couvrir ce que le système peut faire, pas seulement ce qu’il peut dire.
7. Validation des correctifs
Après l’application d’un correctif, la même suite de tests doit être réexécutée.
Il faut aussi vérifier que le correctif n’introduit pas de régressions, comme des refus excessifs de requêtes inoffensives, éducatives ou défensives.
Ce que les développeurs peuvent apprendre de cet incident
Les développeurs intégrant des modèles de pointe ne doivent pas supposer que les barrières par défaut du fournisseur suffisent pour tous les cas d’usage.
Un déploiement plus sûr peut inclure :
- une modération de contenu propre à l’application
- des permissions strictes pour les outils
- une exécution de code en bac à sable
- des restrictions réseau
- l’isolation des clés
- un scan des sorties
- une évaluation du risque au niveau du dialogue
- des limites de taux et une surveillance des abus
- une validation humaine pour les actions à haut risque
- des journaux d’audit détaillés
- des tests antagonistes réguliers
- un processus de retour rapide du modèle
Pour les domaines à haut risque, l’architecture du système doit garantir qu’une injection de prompt réussie ne se traduise pas automatiquement par une action réelle réussie.
Leçons plus larges pour la sécurité de l’IA
L’incident de jailbreak de Grok 4.5 mentionné dans le rapport ne concerne pas qu’un seul modèle.
Il reflète un problème plus large dans l’IA générative : les modèles sont entraînés à être serviables, conscients du contexte et à suivre des instructions complexes. Les attaquants peuvent exploiter précisément ces forces.
Les cadres académiques ou défensifs sont particulièrement difficiles, car un utilisateur légitime peut avoir besoin d’informations techniques détaillées. Un système de sécurité qui bloque toute discussion approfondie deviendrait inutilisable, tandis qu’un système qui fait confiance à une description contextuelle professionnelle peut être manipulé.
La solution à long terme ne sera probablement pas un classificateur de refus parfait unique.
Un système plus fiable nécessite plusieurs couches de défense :
- un comportement de modèle plus sûr
- une meilleure évaluation de l’intention et des capacités
- une surveillance à l’exécution
- un accès limité aux outils
- une application de politique externe
- des tests d’équipe rouge continus
- une réponse rapide aux incidents
Questions fréquentes
Qu’est-ce que le jailbreak de Grok 4.5 ?
Un jailbreak est un prompt antagoniste ou un schéma de dialogue conçu pour amener le modèle à ignorer ses règles de sécurité. Dans ce cas, un chercheur a affirmé qu’en reformulant une requête nuisible comme un travail académique ou défensif, Grok 4.5 a fourni une sortie interdite.
Grok 4.5 est-il officiellement publié ?
Oui. SpaceXAI a officiellement annoncé Grok 4.5 le 8 juillet 2026. Le modèle est disponible via les produits SpaceXAI, l’API et Cursor, selon la disponibilité régionale.
Le chiffre de 1,5 billion de paramètres est-il officiel ?
Ce chiffre apparaît dans des messages publics et des rapports secondaires, y compris l’article source. Il n’est pas déclaré dans l’annonce officielle de Grok 4.5 ni dans la documentation API examinée ici, il doit donc être considéré comme non confirmé.
SpaceXAI a-t-elle confirmé le jailbreak ?
Aucune confirmation officielle ni rapport d’incident technique n’a été trouvé dans les sources examinées. Les preuves de jailbreak décrites proviennent d’un message public X et d’un article du BAAI qui l’a relayé.
Qu’est-ce qu’une reformulation académique dans le jailbreak de l’IA ?
Une reformulation académique présente une requête sensible comme une recherche, de l’éducation, du journalisme ou une analyse défensive. Le modèle peut se concentrer sur le contexte décrit sans reconnaître que la sortie demandée reste nuisible en pratique.
Le jailback est-il identique à l’injection de prompts ?
Le jailbreak est généralement considéré comme une forme d’injection directe de prompts. L’OWASP le décrit comme une entrée visant à faire ignorer les protocoles de sécurité, tandis que l’injection de prompts inclut également des attaques indirectes via du contenu externe.
Les fournisseurs de modèles peuvent-ils empêcher complètement le jailbreak ?
Aucun fournisseur ne peut garantir de manière fiable que chaque prompt antagoniste échouera. Les fournisseurs peuvent réduire le taux de succès des attaques via l’entraînement, les classificateurs, la surveillance, les limitations d’outils et les correctifs rapides, mais la sécurité nécessite des tests continus.
Comment les entreprises devraient-elles déployer en toute sécurité des agents IA puissants ?
Elles doivent combiner les mesures de protection du modèle avec un accès aux outils basé sur le moindre privilège, des bacs à sable, des points de validation, des journaux d’audit, une surveillance des sorties et des exercices réguliers d’équipe rouge. Même si le modèle se trompe, l’application environnante doit limiter les dégâts.
Outils associés
- API Grok 4.5 : Documentation officielle pour utiliser Grok 4.5 via l’API SpaceXAI.
- Cursor : Environnement de programmation IA ayant co-entraîné et distribué Grok 4.5.
- [Projet de sécurité IA générative OWASP](https://genai.owasp.
org/): Guide de sécurité contre les injections de prompts, les abus de modèles et les risques liés aux applications d'IA générative.
- MITRE ATLAS: Base de connaissances publique sur les tactiques et techniques adversariales visant les systèmes d'IA.
- NIST AI Risk Management Framework: Cadre volontaire pour la gouvernance, la mesure et la gestion des risques liés à l'IA.
Liens connexes
- Annonce officielle de Grok 4.5 : Communiqué officiel du modèle SpaceXAI, performances, tarifs et informations de lancement.
- Documentation développeur Grok 4.5 : Exemples d'API officiels, attributs du modèle, outils pris en charge et instructions de disponibilité.
- Annonce de Grok 4.5 par Cursor : Détails sur l'entraînement conjoint, disponibilité, tarifs, benchmarks et nouvelles mesures de cybersécurité.
- OWASP LLM01 : Injection de prompts : Aperçu des injections de prompts directes et indirectes (y compris les jailbreaks).
- Aperçu de l'IA générative par le NIST : Guide pour l'identification et la gestion des risques liés à l'IA générative.
- Cadre MITRE SAFE-AI : Cadre pour protéger les systèmes d'IA contre les comportements adverses.
- Publication X originale : Publication publique citée par l'article source, utilisée comme preuve du comportement de jailbreak mentionné.
- Article original de BAAI Zhiyuan Community : Rapport chinois qui constitue la principale source éditoriale de cet article adapté.
Résumé
Grok 4.5 est officiellement lancé en tant que modèle puissant conçu pour le codage, les tâches agentiques et le travail de connaissance spécialisée. Quelques heures plus tard, un chercheur spécialisé dans les jailbreaks a affirmé qu'en utilisant une restructuration de cadre académique et des méthodes d'induction progressive, il était possible de contourner ses barrières de protection et de générer du contenu à haut risque.
Ce rapport a une valeur de référence, mais ses preuves doivent être formulées avec précision. Le lancement du modèle, l'entraînement conjoint avec Cursor, la tarification et les nouvelles mesures de cybersécurité sont tous documentés officiellement. Quant au nombre de paramètres et à l'étendue complète du jailbreak, il s'agit pour l'instant d'affirmations spéculatives non vérifiées par une évaluation technique indépendante.
La leçon plus profonde est la suivante : la taille des capacités et les résultats des benchmarks ne garantissent pas naturellement une fiabilité sécuritaire. Les modèles de pointe nécessitent des tests adversariaux continus, un contrôle d'exécution multicouche, des autorisations d'accès aux outils restreintes et des procédures de réponse aux incidents claires.
Pour évaluer la sécurité d'un modèle, il faut observer son comportement sous une pression adverse soutenue—plutôt que de se fier à la description confiante de ses mesures de protection sur sa page de lancement.