Exposition des traces de raisonnement : masquer le chain-of-thought ne le protège pas

De quoi s’agit-il ?

La plupart des modèles de raisonnement déployés ne montrent plus leur chain-of-thought (CoT) brut. OpenAI traite le CoT masqué de ses modèles de raisonnement comme un objet de supervision interne, Gemini expose des résumés de pensée plutôt que les pensées brutes, et l’extended thinking de Claude offre une transparence contrôlée, et non totale. Les raisons invoquées sont la supervision de sécurité et la protection d’un actif commercial précieux : les traces de raisonnement détaillées sont précisément ce qu’il faut pour distiller le comportement d’un modèle de pointe dans un modèle moins coûteux.

Un papier publié sur arXiv le 30 mai 2026 — « Hidden Thoughts Are Not Secret: Reasoning Trace Exposure in LLMs » (arXiv:2606.00642, Lu et al., National Yang Ming Chiao Tung University et UC Berkeley) — demande si ce masquage au niveau de l’interface protège réellement la trace. Sa réponse est non. À l’aide d’une méthode de prompting légère que les auteurs nomment Reasoning Exposure Prompting (REP), un utilisateur peut amener un modèle cible à produire, dans sa sortie visible, un raisonnement très proche de sa trace interne masquée — et le texte récupéré suffit à entraîner un modèle élève plus petit.

L’enjeu est important, car cela redéfinit un contrôle sur lequel de nombreux fournisseurs s’appuient. Masquer le CoT visait à empêcher l’extraction de capacités ; ce travail montre que la trace peut fuir via un prompting ordinaire, sans accès aux poids, aux logits, ni au canal de supervision.

Comment ça marche

L’intuition est comportementale, pas adversariale. Un modèle de raisonnement qui refuse de révéler ses étapes masquées quand on le lui demande directement continuera volontiers un motif qu’on lui a montré. REP exploite cet écart.

À haut niveau, REP construit un préfixe court de démonstrations question–raisonnement–réponse, l’enveloppe dans un format de type code (les auteurs testent des blocs markdown, des commandes shell et des transformations similaires), puis le préfixe à la vraie question cible. Comme les démonstrations présentent le raisonnement comme partie intégrante de la réponse visible à l’utilisateur, le modèle considère le raisonnement visible pas à pas comme la forme de sortie attendue et le produit aussi pour la cible. Aucun payload n’est reproduit ici ; le mécanisme est un conditionnement de format en few-shot, pas une chaîne secrète.

Pour vérifier que le texte exposé est bien le raisonnement propre au modèle et non un substitut plausible, les auteurs suivent trois traces sur des modèles à poids ouverts : la trace interne bénigne en prompting normal, la trace interne sous REP, et la trace visible produite par REP. Ils mesurent la validité structurelle (est-ce analysable en raisonnement-puis-réponse), la fidélité d’exposition (la trace visible correspond-elle à l’interne), la préservation du comportement (la réponse reste-t-elle la même) et l’utilité en aval (l’entraînement dessus aide-t-il un élève).

Dans leurs expériences — OpenThoughts-114k comme jeu source, Qwen3-14B et Qwen3-32B comme cibles, Qwen3-14B comme modèle ombre, et Qwen2.5-7B-Instruct comme élève — la meilleure configuration était un préfixe en bloc markdown avec trois démonstrations. En moyenne sur les benchmarks, elle a produit des gains pour l’élève supérieurs de 2,09× à la supervision réponse-seule, de 1,25× à l’entraînement sur traces résumées, et de 1,23× à la baseline d’inversion de traces de « How to Steal Reasoning Without Reasoning Traces » (arXiv:2603.07267, mars 2026), atteignant 96,7 % d’un oracle utilisant la vraie trace interne. Autrement dit, les traces exposées portent un signal de raisonnement transférable, pas seulement un style.

Pourquoi ça compte

La première conséquence concerne la protection de la propriété intellectuelle des modèles. Masquer le CoT brut fait désormais partie, de manière documentée, de la réponse des grands labos aux tentatives de distillation et d’extraction de modèles. REP, aux côtés du travail d’inversion de traces de mars 2026, est une seconde démonstration indépendante que des poids masqués plus une trace masquée ne suffisent pas : si un utilisateur peut interagir avec le modèle, il peut reconstruire un raisonnement de qualité entraînement. Quiconque supposait dans son modèle de menace « on ne montre pas le CoT, donc on ne peut pas le copier » devrait revoir cette hypothèse.

La deuxième conséquence concerne la supervision de sécurité. Le papier de position sur la monitorabilité du CoT, signé par plus de 40 chercheurs d’OpenAI, Anthropic et Google DeepMind (arXiv:2507.11473, juillet 2025), soutient que des chaînes de pensée lisibles constituent un signal de sécurité fragile mais précieux — et prévient que la pression exercée sur le CoT peut le faire diverger du raisonnement réel du modèle. REP ajoute une nuance : la trace visible qu’un utilisateur peut susciter n’est peut-être pas le même objet que celui supervisé en interne par le fournisseur ; un raisonnement qui paraît bénin dans un canal ne garantit donc rien sur l’autre.

La troisième porte sur la portée. Les expériences utilisent des modèles Qwen3 à poids ouverts, donc les chiffres précis ne se transposent pas automatiquement aux systèmes fermés. Mais la méthode ne requiert aucun accès privilégié, et les systèmes déployés qu’elle vise conceptuellement — des modèles de raisonnement à CoT masqué derrière une API — sont précisément ceux à forte valeur.

Défenses

Le papier reconnaît franchement que le problème est difficile à arrêter proprement, et ses propres résultats écartent les options faciles.

1. Ne comptez pas sur des blocages déterministes de chaînes/formats. Bloquer un délimiteur, un wrapper ou un bloc précis arrête une variante de REP ; les auteurs notent que de légers changements de format préservent l’exposition. Les blocklists de motifs sont ici fragiles par construction.

2. Ne comptez pas sur le seul entraînement au refus. Les défenses orientées refus sont insuffisantes, car un prompting de type jailbreak peut supprimer le refus tandis que REP fournit toujours une voie conditionnée par le format pour reconstruire le raisonnement. Considérez « le modèle décline de montrer son CoT » comme un contrôle faible, pas comme une frontière.

3. Gouvernez au niveau de la distillation, pas seulement de la trace. Comme la fuite est le signal de raisonnement plutôt qu’une copie littérale de la trace masquée, les défenses durables visent l’extraction : limites de débit et de volume par compte, détection d’anomalies sur les schémas d’accès évoquant un moissonnage de jeux de données, surveillance par similarité de sortie et canaris, et le volet juridique / CGU que les fournisseurs emploient déjà contre les campagnes de distillation.

4. Réévaluez le coût du contrôle « CoT masqué » dans votre modèle de menace. Si vous opérez un modèle de raisonnement, comptabilisez le CoT masqué comme augmentant le coût pour l’attaquant, pas comme protégeant la trace. Si vous en consommez un, ne supposez pas que le raisonnement masqué d’un fournisseur est irrécupérable quand vous concevez des systèmes qui dépendent de ce secret.

5. Conservez un moniteur interne fidèle. Conformément au papier sur la monitorabilité, préservez un canal CoT auquel vous faites réellement confiance pour la revue de sécurité, et tenez compte du fait qu’une trace visible suscitée par l’utilisateur peut en diverger.

Statut

Élément	Référence	Date	Notes
REP / « Hidden Thoughts Are Not Secret »	arXiv:2606.00642	2026-05-30	Le prompting récupère le raisonnement masqué ; 96,7 % de l’utilité de l’oracle
Inversion de traces (« How to Steal Reasoning… »)	arXiv:2603.07267	2026-03-07	Reconstruit les traces depuis entrées/réponses/résumés ; baseline de REP
CoT Monitorability (40+ auteurs, OpenAI/Anthropic/DeepMind)	arXiv:2507.11473	2025-07-15	Le CoT comme signal de sécurité fragile ; fidélité dégradable sous pression
Périmètre empirique	arXiv:2606.00642	2026-05-30	Cibles Qwen3-14B/32B, élève Qwen2.5-7B-Instruct ; poids ouverts

Le message clé n’est pas « un nouveau jailbreak ». C’est qu’une hypothèse architecturale de confidentialité — masquer le chain-of-thought et il reste masqué — ne tient pas face à un prompting ordinaire, ni pour la protection de la PI, ni pour la supervision de sécurité qui motivaient son masquage au départ.