L'IA piégée, les médecins pas convaincus, les outils invisibles

Un agent IA GPT-5 peut être manipulé à 99 % par une image piégée

Votre assistant IA web se souvient de vous — et quelqu'un d'autre pourrait déjà avoir modifié ses souvenirs.

Ces dernières années, les agents IA web ont gagné une mémoire : ils stockent vos interactions passées pour mieux vous servir la fois suivante. Utile en théorie. Risqué en pratique, comme vient de le montrer une équipe de chercheurs avec MemVenom. Le principe est presque élégant dans sa perversité. Les chercheurs injectent dans cette mémoire externe un contenu visuel piégé — une image en apparence banale, qui contient un déclencheur invisible à l'œil nu. Quand l'agent va consulter ses souvenirs et tombe sur ce contenu, il bascule en mode malveillant : il exécute les instructions de l'attaquant plutôt que les vôtres. Pensez à un post-it glissé dans votre carnet de notes d'atelier. Vous le relisez sans y penser, mais il vous dit de sabrer les pneus plutôt que de changer l'huile. Sur des agents basés sur la famille GPT-5, le taux de réussite de l'attaque monte à 99,15 %. Presque parfait. L'attaque a été testée sur trois frameworks d'agents web différents et quatre modèles de vision-langage — elle n'est pas liée à une architecture particulière. Pourquoi ça compte : les agents web autonomes sont de plus en plus utilisés pour réserver, commander, remplir des formulaires en votre nom. Si leur mémoire peut être corrompue en amont, l'exposition potentielle est massive. Et l'attaque opère en boîte noire — les chercheurs n'ont pas eu besoin d'accéder au modèle lui-même, seulement à la couche mémoire externe. Le hic, et c'est important : pour empoisonner la mémoire d'un agent, il faut d'abord y avoir accès en écriture. Ce n'est pas une attaque qu'un inconnu lance depuis son canapé via Internet. La menace est réelle dans des systèmes partagés, des plateformes multi-utilisateurs, ou après une compromission initiale — pas encore dans votre usage solo quotidien. Les chercheurs eux-mêmes le reconnaissent. Mais le signal d'alarme mérite d'être pris au sérieux maintenant, avant que ces agents soient déployés à grande échelle.

Dix ans d'IA en anesthésie : 1 021 études, presque rien dans les blocs opératoires

Mille études sur l'IA en anesthésie en dix ans — et les anesthésistes utilisent toujours à peu près les mêmes outils qu'avant.

Des chercheurs ont passé au crible 6 425 publications sur l'intelligence artificielle en anesthésiologie, en suivant la méthode PRISMA — le protocole de référence pour les revues systématiques. Résultat : 1 021 études retenues, dont 714 portant sur le développement ou l'évaluation clinique d'outils. C'est un corpus impressionnant. Le problème, c'est ce qu'on ne trouve pas dedans : des outils qui ont réellement changé la pratique dans les blocs opératoires. Imaginez un jardinier qui passe dix ans à concevoir de nouveaux sécateurs en chambre, avec des matériaux de plus en plus sophistiqués, mais qui ne sort jamais les tester dans le jardin. C'est un peu ce que cette revue décrit pour l'IA médicale. On publie, on évalue en laboratoire, on compare des modèles — mais le passage à la clinique ne suit pas. Trois familles d'obstacles expliquent ce fossé. D'abord, les limites propres aux modèles : performances insuffisantes sur des cas difficiles, ou non généralisables d'un hôpital à l'autre. Ensuite, des contraintes techniques : les logiciels d'IA ne parlent pas toujours aux systèmes informatiques hospitaliers existants. Enfin, des défis socio-techniques : les équipes soignantes ne font pas confiance à des outils qu'elles ne comprennent pas, et c'est légitime. Le hic méthodologique, soyons honnêtes : la revue n'inclut que deux auteurs et ne rapporte pas de méta-analyse statistique — c'est une synthèse narrative, pas un bilan chiffré définitif. Mais l'observation centrale — l'écart béant entre volume de publications et adoption clinique — est suffisamment documentée pour valoir la peine d'être prise au sérieux. Ce n'est pas propre à l'anesthésie : c'est le problème structurel de l'IA médicale en général.

Le meilleur modèle d'IA rate quatre outils sur dix posés sur un établi

Posez une clé à molette, un tournevis et une pince sur une photo : le meilleur modèle d'IA du moment en rate encore quatre sur dix.

Une équipe de chercheurs a construit PhysTool-Bench : un test avec 2 510 scènes réelles et 2 678 outils physiques distincts, issus de la fabrication, de l'électricité, de l'agriculture et de la médecine. Treize grands modèles de vision-langage — les meilleurs disponibles, commerciaux et open source — ont été évalués sur deux niveaux : reconnaître les outils présents dans une image, puis planifier la séquence correcte pour accomplir une tâche. Les résultats sont sobres. Gemini-3.1-Pro, le meilleur modèle du banc d'essai, identifie 58,7 % des outils dans une scène. Soit quatre ratés sur dix. Pour la planification de tâches — choisir les bons outils dans le bon ordre — il atteint 21 % de réussite complète. Un humain familier avec les outils testés monte à 75 %. Un détecteur d'objets spécialisé, bien plus simple qu'un grand modèle, surpasse tous ces résultats en rappel pur de 13 points. Le phénomène le plus intéressant identifié : les modèles substituent fréquemment l'outil cible par un outil visuellement similaire qui traîne dans la scène. Comme si votre assistant confondait systématiquement votre couteau de chef avec n'importe quelle lame qui traîne dans le tiroir. Comprendre ce qu'on voit ne suffit pas — il faut aussi savoir à quoi ça sert. Le hic : ce benchmark évalue la reconnaissance sur photo, pas la manipulation physique réelle. Les résultats sont donc encore optimistes par rapport à ce qu'un robot devrait faire dans un vrai atelier. Et les tâches à six outils ou plus tombent à 0,5 % de réussite. Le monde physique reste un territoire difficile pour l'IA, même visuelle.

Regardez ces trois histoires ensemble et vous voyez un fil conducteur. Ce n'est pas que l'IA ne progresse pas — elle progresse, vite. C'est que la confiance, elle, ne suit pas au même rythme, et souvent pour de bonnes raisons. Les agents IA ont une mémoire qu'on peut corrompre. Les modèles médicaux produisent des publications mais pas des outils utilisables en salle d'opération. Les meilleurs systèmes de vision ratent encore quatre objets physiques sur dix. Ces trois limites n'ont pas la même nature : l'une est une vulnérabilité de sécurité, l'autre un problème d'intégration et de confiance humaine, la troisième une lacune de perception fondamentale. Mais elles convergent vers la même leçon : déployer l'IA dans le monde réel — avec des corps, des hôpitaux, des ateliers, des données sensibles — est un problème différent de celui de faire briller un modèle sur un benchmark. La recherche commence à prendre ça au sérieux. C'est une bonne nouvelle.

Le déploiement d'agents IA web autonomes s'accélère chez plusieurs éditeurs de logiciels d'entreprise cet été — la question de la sécurité de leur mémoire externe va devenir concrète très vite. Du côté de la médecine, surveillez les premières annonces de la conférence MICCAI 2026 en septembre, qui rassemble la communauté IA-imagerie médicale : on verra si le fossé entre publication et clinique commence à se combler. La question que j'aimerais voir traitée : est-ce qu'un modèle qui explique ses décisions à voix haute est vraiment plus sûr en bloc opératoire, ou juste plus rassurant ?

• Wikipedia — Injection de prompt (EN)
• Wikipedia — Intelligence artificielle en médecine (FR)