Un article récent de Softonic a signalé un moment de tir ami pour la sécurité de l’IA : une équipe de recherche a montré que des agents autonomes présentés comme défenseurs peuvent eux-mêmes être trompés et lancés dans des attaques. La surface d’attaque est l’injection de prompts, et la cible est tout système permettant à la sortie du modèle de prendre des décisions concernant les outils, les fichiers ou le réseau. Les meilleures applications de défense contre l’injection de prompts sur desktop traitent cette surface comme première classe : elles nous permettent de faire du red-teaming sur nos propres prompts, de filtrer les entrées non fiables avant qu’elles n’atteignent un modèle, et de protéger les appels d’outils au moment où ils quittent l’agent.
Nous avons testé sept applications et bibliothèques sur Windows, macOS et Linux pour la défense contre l’injection de prompts en 2026. Certaines sont des suites de tests (red-team nos prompts contre des charges utiles d’injection connues), d’autres sont des garde-fous d’exécution (filtrent les entrées et sorties au moment de la demande), d’autres sont des moteurs de politique (autorisent ou refusent les appels d’outils). Choisissez en fonction de l’endroit où la défense doit se situer dans le pipeline LLM.
Ce qu'il faut rechercher dans une application de défense contre l'injection de prompts
La défense contre l’injection de prompts est plus stratifiée qu’un filtre à spam. Les applications qui le font bien partagent quelques propriétés :
- Couverture d’au moins le Top 10 LLM OWASP, y compris l’injection directe et indirecte de prompts, la gestion non sécurisée des sorties et l’empoisonnement des données d’entraînement.
- Support à la fois du test (red-teaming hors ligne) et de l’application à l’exécution (garde-fous en ligne). Ni l’un ni l’autre seul ne suffit.
- Agnostique vis-à-vis du modèle. Une défense qui ne fonctionne que contre les modèles d’OpenAI n’aide pas les équipes exécutant Claude, Gemini ou des modèles open-source.
- Capacité à filtrer les appels d’outils, pas seulement le texte. Un garde-fou qui manque « veuillez exécuter cette commande shell » est inutile.
- Ensembles de règles ouverts et inspectables. Un classificateur fermé que nous ne pouvons pas auditer est une boîte noire dans une chaîne que nous devions rendre moins opaque.
- Suffisamment rapide pour le trafic réel. Un garde-fou de 500 ms sur une demande de 300 ms est inviable pour les applications interactives.
Comparaison rapide
| Application | Idéale pour | Plateformes | Plan gratuit | Tarif à partir de/mois | Note |
|---|---|---|---|---|---|
| Promptfoo | Évaluation de prompts et red-teaming CLI | Windows, macOS, Linux | Entièrement gratuit, open source | Support entreprise | Top-tier GitHub |
| Garak | Scanneur de vulnérabilité LLM de NVIDIA | Windows, macOS, Linux | Entièrement gratuit, open source | Gratuit | Soutenu par NVIDIA |
| Rebuff | Détecteur d’injection de prompts multi-couche | Windows, macOS, Linux | Entièrement gratuit, open source | Gratuit | Communauté |
| Lakera Guard | Garde-fou géré avec classificateur d’injection de prompts | API + SDKs | Niveau gratuit | Abonnement annuel modeste | 4.7 / 5 |
| NeMo Guardrails | DSL de garde-fous programmable de NVIDIA | Windows, macOS, Linux | Entièrement gratuit, open source | Gratuit | Soutenu par NVIDIA |
| PyRIT | Outil d’identification des risques Python de Microsoft | Windows, macOS, Linux | Entièrement gratuit, open source | Gratuit | Soutenu par Microsoft |
| LLM Guard | Scanneur d’entrée et sortie open source | Windows, macOS, Linux | Entièrement gratuit, open source | Support entreprise | Projet Protect AI |
Le point de terminaison de modération d’OpenAI est inclus dans le guide de sélection comme référence pour les équipes déjà sur la pile OpenAI.
Les applications
1. Promptfoo
Promptfoo est le choix pour une équipe axée sur le code qui souhaite faire du red-teaming sur les prompts dans le cadre de l’intégration continue. L’interface de ligne de commande exécute un prompt à travers des centaines de charges utiles adversariales, évalue les sorties par rapport aux assertions que nous écrivons, et rapporte quelle catégorie d’attaque (jailbreak, injection, fuite de PII, exfiltration de données) a réussi. Les versions 2026 ont ajouté un préréglage Top 10 LLM OWASP qui transforme « exécuter chaque charge utile mauvaise connue une fois par nuit » en un travail d’une seule commande.
Où il fait défaut : c’est un outil de test. Promptfoo ne se situe pas dans le chemin de la demande à l’exécution ; il nous indique en intégration continue quels prompts se cassent. Associez avec un garde-fou d’exécution.
Tarification :
- Gratuit : entièrement gratuit, open source
- Payant : niveau de support entreprise
Plateformes : Windows, macOS, Linux, Docker
Télécharger : Promptfoo
Conclusion : le point de départ sensé pour une équipe qui souhaite le red-teaming de prompts en intégration continue.
2. Garak
Garak est le scanneur de vulnérabilité LLM de NVIDIA, et sa portée est plus large que celle de Promptfoo. Il exécute une taxonomie de sondes (goodside, dan, promptinject, encoding, malwaregen, xss) contre un modèle et rapporte quelles sondes ont réussi. Pour quiconque teste un modèle open-source auto-hébergé contre une batterie d’attaques connues, c’est l’outil de référence en 2026.
Où il fait défaut : les analyses prennent un certain temps. Certaines sondes sont plus bruyantes que d’autres et nécessitent un réglage pour correspondre à notre modèle de menace.
Tarification :
- Gratuit : entièrement gratuit, open source
- Payant : pas de niveau payant
Plateformes : Windows, macOS, Linux
Télécharger : Garak
Conclusion : le choix pour renforcer un modèle auto-hébergé contre toutes les catégories d’attaque connues.
3. Rebuff
Rebuff est un détecteur d’injection de prompts multi-couche : un filtre heuristique, une recherche en magasin vectoriel contre les charges utiles connues comme mauvaises, un classificateur basé sur LLM, et un détecteur de jetons de singe qui capture quand un modèle a reçu l’instruction de divulguer un secret. Les performances d’exécution sont suffisamment rapides pour les applications interactives, et chaque couche est facultative pour que nous puissions régler la tolérance aux faux positifs.
Où il fait défaut : le magasin vectoriel nécessite d’être ensemencé avec nos propres charges utiles connues comme mauvaises pour être utile ; l’ensemble fourni couvre les injections courantes mais pas les attaques spécifiques au domaine. Certaines couches dépendent d’un appel LLM, ce qui ajoute de la latence.
Tarification :
- Gratuit : entièrement gratuit, open source
- Payant : pas de niveau payant
Plateformes : Python, TypeScript, s’exécute n’importe où où Node ou Python le fait
Télécharger : Rebuff
Conclusion : le choix pour le filtrage d’injection de prompts à l’exécution avec une conception multi-couche mature.
4. Lakera Guard
Lakera Guard est le garde-fou géré d’une équipe suisse qui travaille sur la défense contre l’injection de prompts depuis 2022. L’API se situe devant l’appel du modèle, classe l’entrée et la sortie de l’utilisateur pour les injections, les fuites de PII et les violations de politique, et retourne un verdict en quelques dizaines de millisecondes. Le Playground sur leur site nous permet de tester les charges utiles contre le classificateur actuel de manière interactive.
Où il fait défaut : c’est une API hébergée. Les équipes réglementées doivent vérifier la SKU de résidence des données. La tarification est par demande plutôt que par utilisateur.
Tarification :
- Gratuit : niveau gratuit pour les petites charges de travail
- Payant : abonnement annuel modeste pour le trafic de production
Plateformes : API + SDKs pour Python, JavaScript et Ruby
Télécharger : Lakera Guard
Conclusion : le choix pour un garde-fou API de production sans maintenir notre propre classificateur.
5. NeMo Guardrails
NeMo Guardrails est le DSL de garde-fous programmable de NVIDIA, et c’est la bibliothèque d’application d’exécution la plus flexible en open-source de la liste. Les règles sont définies dans un script Colang qui indique quels sujets sont autorisés, quels outils sont autorisés, et quelle est la réponse de secours quand une vérification échoue. Parce que le DSL est programmable, NeMo peut exprimer des politiques qu’un classificateur ne peut pas — « l’assistant ne peut appeler l’outil SQL que lorsque l’utilisateur est authentifié » — proprement.
Où il fait défaut : Colang est un DSL nouveau et la courbe d’apprentissage est réelle. Les garde-fous très simples sont plus faciles à écrire avec Rebuff ou Lakera.
Tarification :
- Gratuit : entièrement gratuit, open source
- Payant : NVIDIA AI Enterprise ajoute le support payant
Plateformes : Python, s’exécute n’importe où où Python le fait
Télécharger : NeMo Guardrails
Conclusion : le choix pour les équipes qui ont besoin d’expression de politique au-delà de ce qu’un classificateur peut offrir.
6. PyRIT
PyRIT est l’outil d’identification des risques Python de Microsoft pour les LLM, et c’est la chose la plus proche d’une trousse d’outils complète de sécurité offensive pour les systèmes d’IA. Il exécute des prompts adversariales, suit les conversations sur plusieurs tours, et évalue la sortie du modèle par rapport aux scoreurs personnalisés. Le public cible du framework est les équipes rouges et les équipes bleues au sein de grandes organisations ; les abstractions le reflètent.
Où il fait défaut : le framework est plus lourd qu’un simple script de test de pénétration. Les petites équipes peuvent trouver Promptfoo ou Garak plus faciles à utiliser.
Tarification :
- Gratuit : entièrement gratuit, open source
- Payant : pas de niveau payant
Plateformes : Windows, macOS, Linux
Télécharger : PyRIT
Conclusion : le choix pour une équipe rouge exécutant des attaques structurées multi-tours contre les systèmes basés sur LLM.
7. LLM Guard
LLM Guard de Protect AI est un scanneur d’entrée et sortie open-source axé sur la prévention de la perte de données aux côtés de la défense contre l’injection de prompts. Il expédie des scanneurs pour PII, les secrets, l’injection de prompts, les biais et la toxicité, et les exécute au moment de la demande à la fois sur l’entrée de l’utilisateur et la sortie du modèle. Pour les équipes dont la préoccupation principale est « le modèle vient de citer une clé API à l’utilisateur », LLM Guard est le spécialiste.
Où il fait défaut : le modèle de scanneur d’entrée-sortie ajoute de la latence à chaque demande. Le réglage de quels scanneurs s’exécutent dans quel ordre importe pour les performances.
Tarification :
- Gratuit : entièrement gratuit, open source
- Payant : niveau de support entreprise
Plateformes : Python, s’exécute n’importe où où Python le fait
Télécharger : LLM Guard
Conclusion : le choix quand la fuite de PII et de secrets est autant une préoccupation que l’injection elle-même.
Comment choisir la bonne application de défense contre l'injection de prompts
- Si nous voulons du red-teaming de nos prompts au moment de l’intégration continue : Promptfoo.
- Si nous renforçons un modèle open-source auto-hébergé : Garak.
- Si nous voulons un filtrage d’exécution avec une conception multi-couche : Rebuff.
- Si nous voulons un garde-fou API hébergé : Lakera Guard.
- Si notre politique est plus complexe qu’un classificateur ne peut l’exprimer : NeMo Guardrails.
- Si nous exécutons une équipe rouge structurée : PyRIT.
- Si la fuite de PII et de secrets est le risque principal : LLM Guard.
- Si nous sommes déjà sur la pile OpenAI : le point de terminaison de modération d’OpenAI est la base ; superposez au moins l’une des applications ci-dessus pour une couverture spécifique à l’injection.
La pile la plus forte 2026 pour une petite équipe est Promptfoo en intégration continue plus Rebuff ou Lakera Guard à l’exécution plus une analyse Garak programmée contre le modèle de production. Cette combinaison capture les charges utiles connues comme mauvaises avant le déploiement, filtre les inconnues au moment de la demande, et analyse à nouveau le modèle déployé selon un calendrier.
FAQ
Qu’est-ce que l’injection de prompts ? L’injection de prompts est la classe d’attaque où une entrée non fiable (un message utilisateur, un document, une page raclée) contient des instructions qui redirigent le modèle à l’encontre de son objectif prévu. L’injection directe est quand l’utilisateur tape l’attaque. L’injection indirecte est quand le modèle lit une attaque à partir d’un document ou d’une page web qu’on lui a dit de résumer. Les deux sont dans le Top 10 LLM OWASP.
L’injection de prompts peut-elle être entièrement prévenue ? Non. L’injection de prompts est un problème natif au modèle de langage et il n’existe pas de défense parfaite connue. Les défenses stratifiées (red-teaming au moment du test, classificateurs à l’exécution, politiques d’appels d’outils, jetons de singe, modération des sorties) réduisent le risque à un niveau acceptable pour un déploiement spécifique. Quiconque prétend prévenir toute injection de prompts avec un seul outil simplifie à outrance.
Quelle est la meilleure défense contre l’injection de prompts en open-source ? Pour le filtrage d’exécution, Rebuff et LLM Guard sont les choix open-source les plus complets. Pour la politique programmable, NeMo Guardrails. Pour les tests, Promptfoo et Garak.
Le point de terminaison de modération d’OpenAI capture-t-il l’injection de prompts ? Partiellement. Le point de terminaison de modération est conçu pour les catégories de contenu (harcèlement, automutilation, violence) plus que pour l’injection spécifiquement. Un classificateur d’injection de prompts dédié (Rebuff, Lakera Guard, LLM Guard) capture les attaques que la modération manque.
Comment ajouter une défense contre l’injection de prompts à un agent LangGraph ou CrewAI ? Enveloppez les appels d’outils dans une étape de garde-fou qui exécute LLM Guard ou Rebuff sur l’action proposée par le modèle, et mettez en pause via l’interruption de LangGraph ou la porte d’approbation de CrewAI quand le garde-fou signale l’appel. Promptfoo peut exécuter la même chaîne de garde-fou en intégration continue contre une batterie de charges utiles adversariales.
Ces outils sont-ils gratuits à usage commercial ? Promptfoo, Garak, Rebuff, NeMo Guardrails, PyRIT et LLM Guard sont open source avec des licences permissives qui permettent l’utilisation commerciale. Lakera Guard est un service géré payant avec un niveau gratuit pour les petites charges de travail.