Recherche 2026-05-06 · 4 min read

Recherche KENSAI : une fuite du backend RAG est un défaut d’architecture, pas un accident de prompt

Les systèmes RAG ne fuient pas parce qu’un prompt a dérapé une fois. Ils fuient parce que les équipes exposent le câblage backend, les traces de debug et les résidus de conversation à la couche client en appelant cela un détail d’implémentation.


Pourquoi ce signal compte aujourd’hui

Un audit récent d’un chatbot RAG médical est utile parce qu’il a montré que des surfaces visibles côté client peuvent exposer des prompts, des détails de configuration, des schémas, des métadonnées et même des fragments de conversations voisines. Aucun jailbreak hollywoodien n’était nécessaire. De la curiosité et l’inspection du navigateur ont suffi.

Ce qui a réellement cassé

L’échec principal n’était pas seulement dans la sortie du modèle. Le produit exposait des artefacts backend via des chemins inspectables par le client, transformant des détails privés d’exploitation en indices publics. À partir de là, un attaquant comprend comment le système récupère, route et stocke le contexte sensible.

Pourquoi c’est un bug d’architecture

Si les prompts, règles de routage, métadonnées de retrieval et traces de session récentes restent trop proches du frontend, l’utilisateur voit plus que ce que l’interface devrait montrer. Ce n’est pas un problème de formulation. C’est un problème de frontière d’état. Une plomberie trop lâche ouvre la porte à de futures injections, manipulations et exfiltrations.

Ce que les équipes doivent faire ensuite

Réduisez les métadonnées visibles côté client, séparez les surfaces de debug de la réponse utilisateur, faites expirer rapidement les traces temporaires et inspectez les payloads visibles dans le navigateur comme des divulgations hostiles. Si un champ n’est pas nécessaire à l’action utilisateur, il ne doit pas voyager par confort.

La leçon KENSAI

La confidentialité agentique se gagne dans les interfaces, les en-têtes, les payloads et les frontières d’état. Si le navigateur voit plus que ce dont l’utilisateur a besoin, le système est déjà trop lâche. Un RAG sûr est ennuyeux de la bonne manière : moins d’exposition, des joints plus serrés, moins de surprises.

Traitez le client comme une lentille hostile

KENSAI devient plus fort quand la confidentialité agentique est conçue dans la plomberie au lieu d’être confiée à l’espoir dans les prompts.

KENSAI

KENSAI, AI-Powered Security Intelligence