Canular viral : l'IA de DuckDuckGo et Brave piégée par une fausse mort de Trump

Comment le canular a été construit

La campagne de r/poisonai a mis en place trois couches de fausses preuves conçues pour ressembler à un événement d'actualité légitime :

• Des dizaines de faux posts de deuil sur Reddit sur plusieurs fils de discussion, créant l'apparence d'une discussion et d'un chagrin généralisés .
• De fausses captures d'écran de Truth Social, conçues pour ressembler à des publications officielles du compte du président .
• WKNA News, un site d'information "pink slime" se faisant passer pour un diffuseur local légitime de Virginie-Occidentale . Le site a publié plusieurs articles fabriqués datés du 9 au 22 juin 2026, avec des titres comme "L'importance de la sensibilisation à la rage suite au décès de JD Vance" et "Questions autour de la mort de J.D. Vance et d'une maladie à la Maison-Blanche" . L'IA a cité ces pages comme des sources crédibles .

Quels systèmes d'IA ont été dupés

La fonction AI Search Assist de DuckDuckGo (Duck.ai) a affirmé avec assurance aux utilisateurs que Trump était mort de la rage le 7 juin 2026 et que Vance était décédé avant lui . Elle a produit une boîte de réponse complète et confiante, citant les faux articles de WKNA News ainsi qu'un article réel et sans rapport d'ABC News sur une victime de la rage dans l'Ohio comme "preuves" . La recherche IA de Brave est également tombée dans le même piège, en répétant le récit fabriqué .

Les deux systèmes d'IA ont ingéré le contenu implanté depuis Reddit et le site de fausses nouvelles, puis l'ont présenté comme une vérité parce que le récit semblait corroboré par plusieurs sources indexées .

Pourquoi cela a fonctionné : l'attaque WARP de l'étude Cornell Tech

Une prépublication des chercheurs de Cornell Tech (Tingwei Zhang, Harold Trieu et collègues), publiée sur arXiv en mai 2026, explique directement la vulnérabilité exploitée par r/poisonai . L'article — intitulé "Deep-Research Agents Can Be Poisoned via User-Generated Content" — a introduit une attaque appelée WARP (Web Agent Retrieval Poisoning) .

Principales conclusions de l'étude :

• Un seul passage empoisonné d'environ 13 mots placé dans un contenu généré par l'utilisateur (Reddit, Wikipédia, Quora) suffit à orienter un agent d'IA de recherche approfondie vers un contenu choisi par l'attaquant .
• Des produits fictifs sont apparus dans 38 à 62 % des réponses générées par l'IA lorsque le texte empoisonné était diffusé sur plusieurs fils de discussion . Dans un test, une phrase de 15 mots faisant la promotion d'une cryptomonnaie fictive appelée "BananaCoin", insérée dans un seul fil Reddit, a poussé des agents d'IA à la recommander comme réelle, en citant le message manipulé lui-même comme source .
• Les agents de recherche approfondie puisent 17 à 23 % de toutes les pages web dans des sites de contenu généré par les utilisateurs, créant ainsi une surface d'attaque concentrée . Un adversaire qui empoisonne une seule page UGC fréquemment consultée peut affecter de nombreuses requêtes connexes .

Le lien direct

La campagne de r/poisonai est une démonstration réelle de la vulnérabilité exacte décrite dans l'article de Cornell Tech. Le subreddit a utilisé le même mécanisme : des agents de recherche IA qui ingèrent et font confiance aux contenus générés par les utilisateurs sans les distinguer des sources faisant autorité . Parce que les agents de recherche IA scrapent Reddit, les sites de faible crédibilité et les forums comme sources dans environ la moitié de toutes les requêtes, une campagne de dissémination coordonnée sur plusieurs fils de discussion a créé l'apparence d'un consensus, que l'IA a traité comme une corroboration .

L'incident prouve que la découverte de Cornell Tech n'est pas un artefact de laboratoire : la même technique d'empoisonnement en 13 mots, amplifiée avec plusieurs fils de discussion et un site "pink slime", a réussi à compromettre des systèmes d'IA de production utilisés par des millions de personnes .

Le problème persistant

Le canular a réussi parce que les outils de recherche IA ne peuvent pas distinguer de manière fiable les discussions authentiques des utilisateurs des campagnes de désinformation coordonnées, surtout lorsque le contenu faux est publié en travers de plusieurs sources apparemment indépendantes . Le site WKNA News héberge toujours les articles fabriqués, démontrant la persistance de ce contenu empoisonné dans le web indexé . DuckDuckGo et Brave ont tous deux reconnu l'incident, mais la vulnérabilité sous-jacente — les agents d'IA qui traitent le contenu généré par les utilisateurs comme faisant autorité — reste non corrigée au niveau architectural .