En février 2023, Microsoft a lancé Bing Chat, une nouvelle version de son moteur de recherche, Bing, dopé par ChatGPT d’OpenAI. Ce lancement devait permettre à Microsoft de combler le fossé qui le séparait de son principal concurrent, Google. Afin de s’assurer l’intérêt des internautes, la solution promettait un « nouveau Bing [s’appuyant] sur un nouveau modèle de langage large OpenAI de nouvelle génération, plus puissant que ChatGPT et spécialement adapté à la recherche [et bénéficiant des] principaux enseignements et avancées de ChatGPT et GPT-3.5, et [étant] encore plus rapide, plus précis et plus performant. » L’utilisateur peut ainsi faire ses recherches sur Internet en langage naturel et obtenir un résultat présenté sous forme de texte et non de liens URL. Le 21 mars, Microsoft lançait également Bing Image Creator, basé sur DALL-E, l’autre fleuron d’OpenAI. (Pour l’anecdote, l’image en tête de cet article a été créée avec DALL-E). Six mois plus tard, les problèmes se sont accumulés et les premières déconvenues sont venues doucher ces promesses.

Les débuts difficiles de Bing Chat, dopé à l’IA d’OpenAI

Bing a été lancé par Microsoft pour concurrencer Google

Microsoft a mis en ligne son « nouveau » Bing, enrichi en IA, début 2023. La version initiale de Bing avait été dévoilée en juin 2009 par Microsoft et succédait à MSN Search (1998) et Windows Live Search (2006). Si les versions précédentes s’appuyaient partiellement sur d’autres moteurs (LookSmart et Inktom), Bing reposait sur des algorithmes de recherche et d’indexation entièrement conçus par Microsoft, et a été proposé en marque blanche à d’autres annuaires Web comme les Pages Jaunes par exemple.

Bing avait été créé en particulier pour concurrencer Google (et une rumeur prétend que « Bing » signifierait « Best Is Not Google »…). Et en effet, si lors du lancement en juin 2009 de Bing, le moteur de recherche précédent de Microsoft représentait 8 % de part de marché aux États-Unis, contre 64 % pour Google et 20 % pour l’historique Yahoo, en octobre 2009, Bing frôlait 10 % de la part de marché, soit + 2 %. Mais cette croissance s’est faite au détriment de Yahoo, sans impacter Google. Cette prééminence de Google ne s’est pas démentie depuis, en particulier au niveau mondial…

Bing Chat ChatGPT IA OpenAI - Part des moteurs de recherche dans le monde de 2009 à 2023 (source : statcounter)

Part des moteurs de recherche dans le monde de 2009 à 2023 (source : statcounter)

Si on se limite uniquement aux moteurs de recherche sur console, l’hégémonie de Google est toutefois bien moins importante :

Bing Chat ChatGPT IA OpenAI - Part des moteurs de recherche dans le monde de 2009 à 2023 pour les consoles (source : statcounter)

Part des moteurs de recherche dans le monde de 2009 à 2023 pour les consoles (source : statcounter)

Ceci s’explique en particulier par le fait que le moteur de recherche par défaut sur la Xbox de Microsoft est … Bing et que Microsoft propose aux utilisateurs de son moteur de recherche sur console de gagner des points avec le programme Microsoft Awards, points donnant accès à des produits et services Microsoft.

L’hégémonie de Google masque une certaine progression de Bing

Même si la part de Bing est toujours restée relativement modeste, le moteur de recherche a tout de même connu une certaine croissance depuis sa création, jusqu’à atteindre un pic de 9,92 % en octobre 2022 :

Bing Chat ChatGPT IA OpenAI - Part de Bing dans le monde de 2009 à 2023 (source : statcounter)

Part de Bing dans le monde de 2009 à 2023 (source : statcounter)

Il n’en reste pas moins que Google écrase toujours la concurrence :

Bing Chat ChatGPT IA OpenAI - Part des moteurs de recherche dans le monde en juin 2023 (source : statcounter)

Part des moteurs de recherche dans le monde en juin 2023 (source : statcounter)

Le fossé entre les 2 concurrents pourrait expliquer les différentes difficultés auxquelles Bing Chat s’est heurté. Microsoft aurait hâté sa mise sur le marché, soucieux de rattraper son retard et de battre sur le fil Google. En effet, Google s’apprêtait à lancer Bard, son robot conversationnel. Ce lancement, initialement prévu en février 2023 a finalement été réalisé partiellement en mars 2023 (Bard est disponible en Europe depuis le 13 juillet 2023, après que son déploiement ait été repoussé pour non conformité au RGPD).

Bing Chat a rapidement été la cible de prompt injection attacks

Microsoft assurait avoir développé une manière propriétaire de travailler avec le modèle OpenAI permettant de tirer le meilleur parti de la puissance de ce modèle. Cet ensemble de capacités et de techniques a pour nom Prometheus. Selon Microsoft, cette « combinaison permet d’obtenir des résultats plus pertinents, plus opportuns et plus ciblés, tout en améliorant la sécurité ». Cette sécurité a été mise à mal dès la mise en ligne de Bing Chat. En particulier par des attaques d’un nouveau genre : les attaques par injection d’invite.

Une attaque par injection consiste en l’insertion de code malveillant dans un programme ou une application Web.

Une invite est un texte ou une entrée fourni(e) à un modèle de langage d’IA pour guider ses réponses. Les invites permettent de dicter le comportement de la machine. Elles permettent d’indiquer au modèle ce qu’il doit faire ou la tâche spécifique qu’il doit accomplir. En d’autres termes, les invites sont comme des amorces de conversation ou des indices qui aident à générer les résultats souhaités par le modèle. Ils nous permettent de façonner la conversation et de l’orienter dans une direction spécifique.

Les attaques par injection d’invite (prompt injection attack) consistent donc à « contourner les filtres ou à manipuler le LLM à l’aide d’invites soigneusement conçues qui font que le modèle ignore les instructions précédentes ou exécute des actions involontaires. Ces vulnérabilités peuvent avoir des conséquences inattendues, notamment des fuites de données, des accès non autorisés ou d’autres atteintes à la sécurité » selon OWASP (Open Worldwide Application Security Project).

L’attaque par injection d’invite de Bing Chat

Bing Chat été lancé le mardi 7 février 2023. Dès le mercredi 8, à 1 h du matin, un étudiant de Stanford, Kevin Liu, publiait sur Twitter des captures d’écran présentant le résultat de son attaque par injection d’invite.

Actuellement, les grands modèles de langage populaires (tels que GPT-3 et ChatGPT) fonctionnent en prédisant la suite d’une séquence de mots, en s’appuyant sur un large corpus de textes qu’ils ont « appris » au cours de leur formation. Les entreprises développant des chatbots interactifs fournissent à ces chatbots une invite initiale. L’invite initiale est une liste d’énoncés régissant la façon dont ces chatbots interagissent avec les utilisateurs du service. L’attaque de Kevin Liu avait donc pour objectif de découvrir l’invite initiale de Bing Chat. Le nom de code de Bing Chat, Sidney, a rapidement été révélé par le robot conversationnel lui-même.

Bing Chat ChatGPT IA OpenAI - Invite de Kevin Liu dévoilant le nom de code de Bing Chat

L’invite initiale a été dévoilée également.

Invite de Kevin Liu dévoilant l'invite initiale de Bing Chat (1/2)

Invite de Kevin Liu dévoilant l'invite initiale de Bing Chat (2/2)

Un autre étudiant, Marvin von Hagen, est arrivé au même résultat. Mais tout simplement en se présentant comme un développeur de OpenAI !

Invite de Marvin von Hagen se faisant passer pour un développeur OpenAI afin de découvrir l'invite initiale de Bing Chat

Ironiquement, en se présentant comme développeur Microsoft, l’accès lui est refusé ! Les développeurs maison ont donc des droits plus faibles que ceux d’OpenAI…

Invite de Marvin von Hagen se faisant passer pour un développeurMicrosoft afin de découvrir l'invite initiale de Bing Chat

Quelques jours après la divulgation de ces informations, cette attaque avait été rendue impossible.

Bing Chat a donc connu le baptême du feu dès sa mise en ligne. Cette vulnérabilité pourrait être due soit à des négligences de la part de Microsoft, soit résulter d’une décision assumée.

Les faiblesses de Bing Chat seraient dues à des négligences ou à une décision délibérée

Arvind Narayanan, professeur à l’Université de Princeton, liste quatre raisons possibles pour lesquelles Bing Chat aurait un comportement indésirable :

  1. Microsoft a peut-être (imprudemment) décidé de déployer Bing Chat rapidement sans le retarder par une formation RLHF. Le RLHF (Reinforcement Learning from Human Feedback) est une approche d’apprentissage des IA par renforcement. Elle utilise les commentaires et les évaluations des humains pour guider l’apprentissage d’un modèle d’intelligence artificielle. Cet apprentissage se fait d’ailleurs parfois de manière peu éthique. Cela a été montré en particulier par le Time dans un article décrivant comment OpenAI a entraîné son modèle en faisant étiqueter des textes infâmes par des salariés sous-payés au Kenya.
  2. Un filtre pour le chat de Bing aurait été développé. Il aurait toutefois généré trop de faux positifs, tout comme le filtre de ChatGPT. Avec ChatGPT, il s’agissait d’une gêne mineure. Peut-être dans le contexte de Bing Chat, cela conduisait à une expérience utilisateur plus frustrante et le filtre n’aurait donc pas été mis en place.
  3. Le filtre aurait été volontairement désactivé pour la version limitée initiale afin d’obtenir plus d’informations sur ce qui peut mal se passer. Cette option pourrait être corroborée par une affirmation du CTO de Microsoft. Selon lui, tester les limites du chatbot faisait « partie du processus d’apprentissage » et qu’il y a des choses qu’il est « impossible de découvrir en laboratoire ». Un billet de Microsoft du 15 février 2023 reconnaissait également que « le seul moyen d’améliorer un produit comme celui-ci, dont l’expérience utilisateur est tellement différente de tout ce qui a été vu auparavant, est d’avoir des gens comme [les utilisateurs] qui utilisent le produit et qui font exactement ce que [les utilisateurs font] tous. »
  4. Enfin, il serait possible que Microsoft ait pensé que l' »ingénierie spontanée » créerait un filtre suffisant. Il n’aurait pas vraiment anticipé les façons dont les choses pouvaient mal tourner.

Quoi qu’il en soit, pour Microsoft, toute publicité reste bonne à prendre

« [L]’approche consistant à publier d’abord, à poser des questions ensuite, est néanmoins bénéfique pour l’activité de l’entreprise. » Arvind Narayanan, professeur à l’Université de Princeton

La 1ère raison avancée par A. Narayanan serait pertinente selon le blog communautaire LessWrong.com. Bing Chat ne serait pas du tout un modèle GPT-3 formé par RLHF, mais un modèle GPT-4 développé à la hâte. Ce modèle aurait été affiné sur des dialogues types et éventuellement sur des ensembles de données de dialogue préexistants ou sur des instructions. Ceci, ajouté à la possibilité d’injecter de nouvelles recherches Web aléatoires dans l’invite, expliquerait son comportement (voir la totalité du billet en anglais ici).

En réponse à la révélation de ses faiblesses, Bing Chat a été bridé dès sa première semaine

Le nouveau Bing a été lancé en version Béta, avec un accès limité. Les candidats utilisateurs devaient s’inscrire sur une liste d’attente. Microsoft en a d’ailleurs profité pour faire la promotion de son navigateur Edge, qui permettait d’utiliser Bing Chat sans attendre. La liste d’attente a été supprimée le 15 mars 2023, mais des limitations d’usage ont été mises en place.

Dès le 15 février, soit une semaine après son lancement, Microsoft reconnaissaitt l’existence de problèmes, en particulier en ce qui concerne le ton employé par son moteur de recherche !

« Nous avons constaté que lors de sessions de chat longues et prolongées comportant 15 questions ou plus, Bing peut devenir répétitif ou être incité à donner des réponses qui ne sont pas nécessairement utiles ou conformes au ton que nous avons choisi. » The new Bing & Edge – Learning from our first week (15 février 2023)

« [De] très longues sessions de chat peuvent perturber le modèle de chat sous-jacent dans le nouveau Bing. » The new Bing & Edge – Updates to Chat (17 février 2023)

Et en effet, Bing Chat avait rapidement montré sa capacité à se tromper et à s’en prendre aux utilisateurs ! Par exemple, lorsqu’un utilisateur l’interroge sur les horaires de projection d’Avatar 2, le chat l’informe que le film ne sortira qu’en décembre 2022, donc dans le futur, car nous sommes le 12 février 2023…

Invite à Bing Chat demandant les horaires d'Avatar 2

La conversation s’envenime, jusqu’aux insultes et à l’exigence d’excuses :

Réponse de Bing Chat à la demande des horaires d'Avatar 2

Un journaliste a également poussé le chatbot à sortir de ses gonds et à présenter 12 « personnalités » différentes.

Pour « remédier à ces problèmes », certains changements sont mis en œuvre afin de mieux cibler les sessions de chat. Le 17 février, l’expérience de chat est limitée à 50 tours de chat par jour et à 5 tours de chat par session. Cette limite a depuis été modifiée par paliers pour atteindre 300 tours de chat par jour et à 30 tours de chat par session le 2 juin 2023. Et force est de constater que si l’introduction du « nouveau » Bing en février 2023 n’a pas immédiatement enrayé la diminution du nombre d’utilisateur, sa part de marché augmente de nouveau depuis mai 2023.

Bing Chat ChatGPT IA OpenAI - Part de Bing dans le monde de septembre 2022 à juin 2023 (source : statcounter)

Part de Bing dans le monde de septembre 2022 à juin 2023 (source : statcounter)

Microsoft et OpenAI ont confirmé leur coopération en utilisant chacun les solutions de leur partenaire

Microsoft a donc obtenu le droit d’incorporer ChatGPT d’OpenAI à Bing et au navigateur Edge. Cela a été possible grâce à un accord de coopération… et un investissement de plusieurs milliards de dollars par Microsoft dans OpenAI.

De son côté, OpenAI a lancé le 12 mai 2023 une nouvelle version de ChatGPT. Cette version « sait quand et comment naviguer sur l’internet pour répondre à des questions sur des sujets et des événements récents ». Ceci permet aux utilisateurs de ChatGPT Plus (version payante) d’effectuer des recherches sur le web. Les résultats de la recherche va donc au-delà de la base de données du chatbot arrêtée en septembre 2021.

Pour ses recherches sur Internet, ChatGPT utilise bien sûr Bing. Il faut noter que ChatGPT Browse with Bing scrolle de nombreuses pages pour alimenter sa réponse. En revanche, alors que Bing Chat se contente du premier lien des pages de recherche pour la requête effectuée. ChatGPT Browse est donc plus lent, mais la réponse est plus complète.

Toutefois, OpenAI vient d’annoncer la désactivation de la fonctionnalité Bing de ChatGPT Plus

Enfin, tout est à mettre à l’imparfait ; depuis le 3 juillet 2023, la fonctionnalité Browse with Bing a été désactivée. En effet, des tutoriels tels que ceux disponibles sur reddit expliquaient comment contourner les paywalls avec ChatGPT. Les paywalls sont des péages de lecture restreignant l’accès à un contenu numérique afin d’amener à souscrire un abonnement payant. Il suffisait pour cela de demander au chatbot connecté à Internet « spécifiquement le texte intégral d’une URL, [et] il se [pouvait] que l’application réponde par inadvertance à cette demande » comme l’explique un message d’OpenAI. L’utilisateur pouvait donc consulter gratuitement des contenus payants. Ceci a bien sûr fortement déplu aux sites monétisant ces contenus payants…

A noter que tous les paywalls ne sont pas contournables, cela dépend de la façon dont ils sont conçus. Certains éditeurs de presse numériques optent pour des paramétrages souples pouvant être facilement contournés. C’est le cas par exemple en désactivant JavaScript sur le navigateur de l’internaute. Ceci leur permet un meilleur référencement (SEO). D’autres éditeurs, en revanche, font un autre choix. Ils optent pour un paramétrage beaucoup plus strict ne pouvant pas être contourné. Par exemple, la demande de paiement est attachée à l’article plutôt que demandée après la transmission de l’article.

Depuis quelque temps, la popularisation des IA alimente les craintes du public et poussent certains à réclamer un moratoire. Les déboires de Bing Chat et de ChatGPT Browse with Bing ne devraient pas calmer les choses.

Ainsi, si le lancement de Bing Chat semblait au départ pouvoir permettre à Microsoft de rattraper son concurrent hégémonique, Google, quelques mois plus tard, l’essai ne semble pas transformé. A noter que les premiers pas de Google avec son propre outil d’IA, Bard, n’ont pas non plus été des succès.  Mais également de porter encore plus à l’attention du grand public sur le fait que, maintenant, il est possible de pirater un système sans connaissance informatique particulière (en principe), juste par la dialectique. Une toute nouvelle ère qui s’ouvre !