Cisco vient de publier un outil open source, Model Provenance Kit. Ce programme Python compare deux modèles d'intelligence artificielle et détermine s'ils partagent une origine commune. Sur un banc d'essai de 111 paires, l'outil obtient 96,4 % de précision. Le code est disponible sur GitHub sous licence Apache-2.0.
La plateforme Hugging Face héberge plus de 2 millions de modèles téléchargeables. Beaucoup sont en réalité des dérivés non déclarés d'autres modèles, ré-empaquetés sous un nouveau nom.
Cisco a livré un programme à exécuter en ligne de commande qui calcule une « empreinte » de chaque modèle. Cette empreinte est issue de trois éléments : les paramètres appris pendant l'entraînement (les « poids »), la manière dont le modèle découpe le texte en unités élémentaires (le « tokenizer ») et les fichiers décrivant son architecture.
Deux usages sont possibles. Le mode comparaison confronte deux modèles directement. Le mode balayage cherche un seul modèle dans une base de 150 empreintes de référence.
Ehsan Aghaei, Amy Chang, Ankit Garg et Sanket Mendapara, les auteurs, parlent d'un « test ADN » pour l'IA. Le programme tourne sur un simple processeur d'ordinateur grand public. Il suffit de quelques millisecondes pour comparer deux architectures. Sur une échelle de 0 à 1, le seuil de décision a été fixé à 0,70.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Comment lire les poids quand les métadonnées sont falsifiées
Le programme travaille en deux étapes.
Lors de la première, il compare les fichiers de configuration des deux modèles : nombre de couches du réseau de neurones, dimensions internes, type de mécanisme d'attention. Quand cette signature ne suffit pas, Cisco bascule sur l'analyse fine des poids.
Cinq indicateurs sont alors mesurés. Le premier examine la géométrie des relations entre mots du vocabulaire, une structure qui survit même à un ré-entraînement partiel. Le deuxième analyse la répartition statistique de ces mêmes mots, reflet de leur fréquence dans le corpus d'apprentissage initial. Le troisième inspecte les petites couches dites de « normalisation », des paramètres qui restent figés après ajustement. Le quatrième trace une courbe représentant la « charge » de chaque couche le long du réseau. Enfin le cinquième compare directement les valeurs numériques d'un échantillon de couches.
Un sixième indicateur a été délibérément écarté du score final. Pourquoi ? Parce qu'un tokenizer partagé n'implique aucune parenté généalogique. Les modèles StableLM et Pythia utilisent tous deux celui de GPT-NeoX sans pour autant avoir de poids communs. Si on incluait ce critère, alors on produirait de fausses correspondances. Le programme mesure donc la similarité des tokenizers à titre informatif, mais leur influence sur le verdict reste nulle.
Sur le banc d'essai de 111 paires de modèles, l'outil n'a manqué que 4 cas. Tous concernaient des transformations architecturales extrêmes : passage d'un modèle de 12 couches à 4 couches avec dimensions internes divisées par deux, ou reconstruction complète du vocabulaire pour un ré-entraînement très spécialisé. Pour Cisco, ces erreurs sont simplement les limites mathématiques de la méthode mais pas des défauts du programme.
Un outil aligné sur l'Annexe IV, accessible aux PME
L'AI Act oblige les fournisseurs de systèmes à haut risque à produire une documentation technique avant la mise sur le marché. L'Annexe IV liste précisément le contenu du dossier : description des données d'entraînement, choix de conception, méthodes de ré-entraînement, infrastructure de calcul. Cette obligation prend effet en août 2026 pour la majorité des systèmes relevant de l'Annexe III, avec un possible report au 2 décembre 2027 selon la proposition Digital Omnibus de novembre 2025. Les autorités nationales peuvent réclamer le dossier à tout moment et y accéder pendant dix ans après la mise sur le marché.
Une entreprise qui télécharge un modèle sur Hugging Face hérite des angles morts du téléverseur. Si ce dernier a menti sur l'origine, le déployeur final reste exposé. Pour Amy Chang, responsable de la recherche en sécurité IA chez Cisco, la sécurité de l'IA sera dépendante de la traçabilité des modèles.
Le programme produit justement des preuves vérifiables : un score numérique, un classement des modèles candidats, une décomposition par indicateur. Ces sorties s'intègrent à un dossier Annexe IV.
Reste la question du coût pour les petites structures. L'article 11 de l'AI Act autorise les PME et les start-ups à fournir une documentation simplifiée via un formulaire dédié. Elles doivent malgré tout prouver l'origine des composants tiers. Or les solutions commerciales d'audit IA coûtent cher, alors que Model Provenance Kit demeure gratuit sous licence Apache-2.0. Aucune carte graphique spécialisée n'est nécessaire, ni grappe de serveurs. Les empreintes pré-calculées sont mises en cache pour réutilisation. Des structures jusque-là exclues des outils d'audit accèdent désormais à la vérification d'origine.
Prenons Cursor Composer 2, partiellement construit sur Kimi 2.5 du chinois Moonshot AI. Cette dépendance, révélée par notre confrère Business Insider en mars 2026, n'apparaissait pas dans la communication initiale de Cursor. Aucun client extérieur ne pouvait la détecter sans comparaison directe des poids. Désormais, le kit identifierait cette filiation par les signatures de couches.
La base initiale de 150 modèles inclut 45 familles et plus de 20 éditeurs, de 135 millions à plus de 70 milliards de paramètres. On y retrouve notamment Meta, Mistral, Alibaba et DeepSeek.
Pour en disposer :
- Sur GitHub ;
- Sur HuggingFace.
Source : SC Wolrd
