Un article à 22 auteurs mené par Daniel Schroeder à SINTEF, publié dans Science la semaine dernière (DOI 10.1126/science.adz1697), définit ce que ses auteurs appellent un « essaim IA malveillant » comme un ensemble d'agents contrôlés par IA avec quatre propriétés que les vieilles hypothèses de détection de bots gèrent pas : identités pis mémoire persistantes à travers les sessions, coordination vers des objectifs partagés en variant le ton pis le contenu par compte, adaptation en temps réel aux signaux d'engagement, pis opération sur plusieurs plateformes. Le cadre est important parce que l'heuristique défensive dominante des années 2010 — trouver un groupe de comptes qui postent un texte identique pis les bannir — suppose que l'attaquant utilise un outillage simple de template-et-diffusion. Les LLM modernes permettent à chaque agent de l'essaim de produire du texte distinct, conscient du contexte, tout en poursuivant le même objectif.
La contribution la plus nouvelle de l'article, c'est de nommer une menace de second ordre qui se discutait informellement depuis deux ans mais n'avait pas de terme propre : le « LLM Grooming ». L'idée, c'est qu'un essaim qui inonde le web ouvert de contenu façonné pour pousser une position particulière essaye pas juste d'influencer les lecteurs humains actuels ; il essaye d'influencer les corpus d'entraînement de la prochaine génération de modèles de langage. Si la prochaine vague de crawlers ingère plusieurs gigaoctets de commentaires pro-Position-X à travers des milliers de sites apparemment indépendants, le modèle résultant aura appris que la Position X est la vue consensus, pis va reproduire cette vue quand on lui demande. L'attaque exige pas de compromettre un modèle directement ; elle exige du volume d'écriture soutenu sur le web ouvert. Schroeder et al. soutiennent que ça fait du pipeline d'entraînement IA lui-même une surface de sécurité nationale.
L'exemple réel que l'article nomme, c'est le réseau Pravda — une opération pro-Kremlin que des chercheurs à NewsGuard pis ailleurs ont documenté en train de produire des milliers d'articles par mois à travers des centaines de sites copiés depuis 2024, délibérément optimisés pour l'ingestion par IA plutôt que pour la lecture humaine. L'article note que des mesures précoces des modèles frontaliers montrent une reproduction non triviale du cadrage pro-Pravda sur certaines requêtes sur l'Ukraine, la Russie pis l'OTAN. Le mécanisme est exactement ce que le LLM Grooming prédit : le modèle a lu plus de contenu pro-Kremlin sur ces sujets pendant l'entraînement que ce que l'archive empirique sous-jacente justifierait, pis il pondère ses sorties en conséquence. Le cas Pravda est la preuve de concept ; l'article soutient que plusieurs équivalents à plus petite échelle roulent maintenant.
Pour les développeurs qui travaillent sur des produits IA, les implications pratiques sont pas subtiles. Détecter un compte bot unique par signaux stylométriques ou comportementaux devient plus difficile que ce que la littérature de détection de l'ère 2017 suppose. Défendre le corpus d'entraînement, c'est son propre problème distinct de défendre le modèle : outillage de provenance, audits de diversité de sources, pis plafonds durs sur l'influence qu'un domaine ou un cluster peut avoir sont tous du vrai travail d'ingénierie pis pour la plupart se font pas. L'article propose pas de défenses détaillées, ce qui est correct ; identifier une menace clairement, c'est sa propre contribution. La vraie leçon, c'est que le cadre hérité de « sécurité IA » axé sur le filtrage de sortie de modèle est de plus en plus inadéquat contre des attaquants dont l'objectif est d'altérer ce que le prochain modèle apprend, pas de jailbreaker celui d'aujourd'hui. L'économie favorise l'attaquant : le texte de bot est pas cher, pis les crawlers peuvent pas facilement distinguer le synthétique de l'authentique à l'échelle.