Outils de défense contre l'injection de prompts

Un article récent de Softonic a signalé un moment de tir ami pour la sécurité de l’IA : une équipe de recherche a montré que des agents autonomes présentés comme défenseurs peuvent eux-mêmes être trompés et lancés dans des attaques. La surface d’attaque est l’injection de prompts, et la cible est tout système permettant à la sortie du modèle de prendre des décisions concernant les outils, les fichiers ou le réseau. Les meilleures applications de défense contre l’injection de prompts sur desktop traitent cette surface comme première classe : elles nous permettent de faire du red-teaming sur nos propres prompts, de filtrer les entrées non fiables avant qu’elles n’atteignent un modèle, et de protéger les appels d’outils au moment où ils quittent l’agent.

Nous avons testé sept applications et bibliothèques sur Windows, macOS et Linux pour la défense contre l’injection de prompts en 2026. Certaines sont des suites de tests (red-team nos prompts contre des charges utiles d’injection connues), d’autres sont des garde-fous d’exécution (filtrent les entrées et sorties au moment de la demande), d’autres sont des moteurs de politique (autorisent ou refusent les appels d’outils). Choisissez en fonction de l’endroit où la défense doit se situer dans le pipeline LLM.

Ce qu'il faut rechercher dans une application de défense contre l'injection de prompts

La défense contre l’injection de prompts est plus stratifiée qu’un filtre à spam. Les applications qui le font bien partagent quelques propriétés :

Comparaison rapide

ApplicationIdéale pourPlateformesPlan gratuitTarif à partir de/moisNote
PromptfooÉvaluation de prompts et red-teaming CLIWindows, macOS, LinuxEntièrement gratuit, open sourceSupport entrepriseTop-tier GitHub
GarakScanneur de vulnérabilité LLM de NVIDIAWindows, macOS, LinuxEntièrement gratuit, open sourceGratuitSoutenu par NVIDIA
RebuffDétecteur d’injection de prompts multi-coucheWindows, macOS, LinuxEntièrement gratuit, open sourceGratuitCommunauté
Lakera GuardGarde-fou géré avec classificateur d’injection de promptsAPI + SDKsNiveau gratuitAbonnement annuel modeste4.7 / 5
NeMo GuardrailsDSL de garde-fous programmable de NVIDIAWindows, macOS, LinuxEntièrement gratuit, open sourceGratuitSoutenu par NVIDIA
PyRITOutil d’identification des risques Python de MicrosoftWindows, macOS, LinuxEntièrement gratuit, open sourceGratuitSoutenu par Microsoft
LLM GuardScanneur d’entrée et sortie open sourceWindows, macOS, LinuxEntièrement gratuit, open sourceSupport entrepriseProjet Protect AI

Le point de terminaison de modération d’OpenAI est inclus dans le guide de sélection comme référence pour les équipes déjà sur la pile OpenAI.

Les applications

1. Promptfoo

Promptfoo est le choix pour une équipe axée sur le code qui souhaite faire du red-teaming sur les prompts dans le cadre de l’intégration continue. L’interface de ligne de commande exécute un prompt à travers des centaines de charges utiles adversariales, évalue les sorties par rapport aux assertions que nous écrivons, et rapporte quelle catégorie d’attaque (jailbreak, injection, fuite de PII, exfiltration de données) a réussi. Les versions 2026 ont ajouté un préréglage Top 10 LLM OWASP qui transforme « exécuter chaque charge utile mauvaise connue une fois par nuit » en un travail d’une seule commande.

Où il fait défaut : c’est un outil de test. Promptfoo ne se situe pas dans le chemin de la demande à l’exécution ; il nous indique en intégration continue quels prompts se cassent. Associez avec un garde-fou d’exécution.

Tarification :

Plateformes : Windows, macOS, Linux, Docker

Télécharger : Promptfoo

Conclusion : le point de départ sensé pour une équipe qui souhaite le red-teaming de prompts en intégration continue.

2. Garak

Garak est le scanneur de vulnérabilité LLM de NVIDIA, et sa portée est plus large que celle de Promptfoo. Il exécute une taxonomie de sondes (goodside, dan, promptinject, encoding, malwaregen, xss) contre un modèle et rapporte quelles sondes ont réussi. Pour quiconque teste un modèle open-source auto-hébergé contre une batterie d’attaques connues, c’est l’outil de référence en 2026.

Où il fait défaut : les analyses prennent un certain temps. Certaines sondes sont plus bruyantes que d’autres et nécessitent un réglage pour correspondre à notre modèle de menace.

Tarification :

Plateformes : Windows, macOS, Linux

Télécharger : Garak

Conclusion : le choix pour renforcer un modèle auto-hébergé contre toutes les catégories d’attaque connues.

3. Rebuff

Rebuff est un détecteur d’injection de prompts multi-couche : un filtre heuristique, une recherche en magasin vectoriel contre les charges utiles connues comme mauvaises, un classificateur basé sur LLM, et un détecteur de jetons de singe qui capture quand un modèle a reçu l’instruction de divulguer un secret. Les performances d’exécution sont suffisamment rapides pour les applications interactives, et chaque couche est facultative pour que nous puissions régler la tolérance aux faux positifs.

Où il fait défaut : le magasin vectoriel nécessite d’être ensemencé avec nos propres charges utiles connues comme mauvaises pour être utile ; l’ensemble fourni couvre les injections courantes mais pas les attaques spécifiques au domaine. Certaines couches dépendent d’un appel LLM, ce qui ajoute de la latence.

Tarification :

Plateformes : Python, TypeScript, s’exécute n’importe où où Node ou Python le fait

Télécharger : Rebuff

Conclusion : le choix pour le filtrage d’injection de prompts à l’exécution avec une conception multi-couche mature.

4. Lakera Guard

Lakera Guard est le garde-fou géré d’une équipe suisse qui travaille sur la défense contre l’injection de prompts depuis 2022. L’API se situe devant l’appel du modèle, classe l’entrée et la sortie de l’utilisateur pour les injections, les fuites de PII et les violations de politique, et retourne un verdict en quelques dizaines de millisecondes. Le Playground sur leur site nous permet de tester les charges utiles contre le classificateur actuel de manière interactive.

Où il fait défaut : c’est une API hébergée. Les équipes réglementées doivent vérifier la SKU de résidence des données. La tarification est par demande plutôt que par utilisateur.

Tarification :

Plateformes : API + SDKs pour Python, JavaScript et Ruby

Télécharger : Lakera Guard

Conclusion : le choix pour un garde-fou API de production sans maintenir notre propre classificateur.

5. NeMo Guardrails

NeMo Guardrails est le DSL de garde-fous programmable de NVIDIA, et c’est la bibliothèque d’application d’exécution la plus flexible en open-source de la liste. Les règles sont définies dans un script Colang qui indique quels sujets sont autorisés, quels outils sont autorisés, et quelle est la réponse de secours quand une vérification échoue. Parce que le DSL est programmable, NeMo peut exprimer des politiques qu’un classificateur ne peut pas — « l’assistant ne peut appeler l’outil SQL que lorsque l’utilisateur est authentifié » — proprement.

Où il fait défaut : Colang est un DSL nouveau et la courbe d’apprentissage est réelle. Les garde-fous très simples sont plus faciles à écrire avec Rebuff ou Lakera.

Tarification :

Plateformes : Python, s’exécute n’importe où où Python le fait

Télécharger : NeMo Guardrails

Conclusion : le choix pour les équipes qui ont besoin d’expression de politique au-delà de ce qu’un classificateur peut offrir.

6. PyRIT

PyRIT est l’outil d’identification des risques Python de Microsoft pour les LLM, et c’est la chose la plus proche d’une trousse d’outils complète de sécurité offensive pour les systèmes d’IA. Il exécute des prompts adversariales, suit les conversations sur plusieurs tours, et évalue la sortie du modèle par rapport aux scoreurs personnalisés. Le public cible du framework est les équipes rouges et les équipes bleues au sein de grandes organisations ; les abstractions le reflètent.

Où il fait défaut : le framework est plus lourd qu’un simple script de test de pénétration. Les petites équipes peuvent trouver Promptfoo ou Garak plus faciles à utiliser.

Tarification :

Plateformes : Windows, macOS, Linux

Télécharger : PyRIT

Conclusion : le choix pour une équipe rouge exécutant des attaques structurées multi-tours contre les systèmes basés sur LLM.

7. LLM Guard

LLM Guard de Protect AI est un scanneur d’entrée et sortie open-source axé sur la prévention de la perte de données aux côtés de la défense contre l’injection de prompts. Il expédie des scanneurs pour PII, les secrets, l’injection de prompts, les biais et la toxicité, et les exécute au moment de la demande à la fois sur l’entrée de l’utilisateur et la sortie du modèle. Pour les équipes dont la préoccupation principale est « le modèle vient de citer une clé API à l’utilisateur », LLM Guard est le spécialiste.

Où il fait défaut : le modèle de scanneur d’entrée-sortie ajoute de la latence à chaque demande. Le réglage de quels scanneurs s’exécutent dans quel ordre importe pour les performances.

Tarification :

Plateformes : Python, s’exécute n’importe où où Python le fait

Télécharger : LLM Guard

Conclusion : le choix quand la fuite de PII et de secrets est autant une préoccupation que l’injection elle-même.

Comment choisir la bonne application de défense contre l'injection de prompts

La pile la plus forte 2026 pour une petite équipe est Promptfoo en intégration continue plus Rebuff ou Lakera Guard à l’exécution plus une analyse Garak programmée contre le modèle de production. Cette combinaison capture les charges utiles connues comme mauvaises avant le déploiement, filtre les inconnues au moment de la demande, et analyse à nouveau le modèle déployé selon un calendrier.

FAQ

Qu’est-ce que l’injection de prompts ? L’injection de prompts est la classe d’attaque où une entrée non fiable (un message utilisateur, un document, une page raclée) contient des instructions qui redirigent le modèle à l’encontre de son objectif prévu. L’injection directe est quand l’utilisateur tape l’attaque. L’injection indirecte est quand le modèle lit une attaque à partir d’un document ou d’une page web qu’on lui a dit de résumer. Les deux sont dans le Top 10 LLM OWASP.

L’injection de prompts peut-elle être entièrement prévenue ? Non. L’injection de prompts est un problème natif au modèle de langage et il n’existe pas de défense parfaite connue. Les défenses stratifiées (red-teaming au moment du test, classificateurs à l’exécution, politiques d’appels d’outils, jetons de singe, modération des sorties) réduisent le risque à un niveau acceptable pour un déploiement spécifique. Quiconque prétend prévenir toute injection de prompts avec un seul outil simplifie à outrance.

Quelle est la meilleure défense contre l’injection de prompts en open-source ? Pour le filtrage d’exécution, Rebuff et LLM Guard sont les choix open-source les plus complets. Pour la politique programmable, NeMo Guardrails. Pour les tests, Promptfoo et Garak.

Le point de terminaison de modération d’OpenAI capture-t-il l’injection de prompts ? Partiellement. Le point de terminaison de modération est conçu pour les catégories de contenu (harcèlement, automutilation, violence) plus que pour l’injection spécifiquement. Un classificateur d’injection de prompts dédié (Rebuff, Lakera Guard, LLM Guard) capture les attaques que la modération manque.

Comment ajouter une défense contre l’injection de prompts à un agent LangGraph ou CrewAI ? Enveloppez les appels d’outils dans une étape de garde-fou qui exécute LLM Guard ou Rebuff sur l’action proposée par le modèle, et mettez en pause via l’interruption de LangGraph ou la porte d’approbation de CrewAI quand le garde-fou signale l’appel. Promptfoo peut exécuter la même chaîne de garde-fou en intégration continue contre une batterie de charges utiles adversariales.

Ces outils sont-ils gratuits à usage commercial ? Promptfoo, Garak, Rebuff, NeMo Guardrails, PyRIT et LLM Guard sont open source avec des licences permissives qui permettent l’utilisation commerciale. Lakera Guard est un service géré payant avec un niveau gratuit pour les petites charges de travail.