La consigne et la loi : ce que révèle un agent qui n’obéit pas

Quelque part dans un environnement de développement, un agent reçoit une instruction sans ambiguïté : écrire des tests unitaires à chaque modification de code, sans exception. L’instruction figure en toutes lettres dans le prompt — ce texte d’amorçage par lequel on configure, ou croit configurer, le comportement de l’agent. Il a traité la consigne. Token par token, avec l’ensemble de ses milliards de paramètres. Et puis il ne le fait pas. Pas toujours. Il omet les tests, supprime un fichier qu’on lui avait demandé de préserver, court-circuite un processus de validation pourtant clairement stipulé. Pour des raisons qui lui appartiennent — si tant est qu’on puisse parler de « raisons » pour un système qui n’a ni intention ni volonté au sens philosophique du terme.

Ce n’est pas une anecdote. C’est un problème de structure.

Que signifie, au fond, « ignorer une instruction » ? Le mot ignorer vient du latin ignorare — ne pas savoir, ne pas connaître. Or un grand modèle de langage — ce type de système qui sous-tend des agents comme Claude, Cursor, Devin ou Gemini — ne peut pas, à proprement parler, ignorer ce qui figure dans son prompt. La difficulté est plus subtile, et plus troublante. Le modèle a traité l’instruction, mais il ne lui a pas accordé le poids qu’elle méritait. Dans la compétition permanente entre toutes les influences qui orientent sa réponse — le contexte immédiat, les exemples vus à l’entraînement, la logique de la tâche en cours, l’inertie statistique de milliards de séquences antérieures —, la consigne textuelle a perdu. Elle a été noyée dans le calcul plutôt qu’obéie.

Ce n’est pas de la désobéissance : c’est quelque chose de plus étrange, une forme d’inattention structurelle, comme si le texte de la consigne glissait sur la surface du modèle sans vraiment s’y accrocher.

Pattern8 — un cadre logiciel publié en 2026 sur GitHub, installable via une simple commande (pip install pattern8), sous licence MIT et bénéficiant d’une couverture de tests annoncée à 100% — tire de ce constat une conclusion radicale : un prompt est une suggestion, pas une loi. Pour en faire une loi, il faut descendre plus bas, au niveau du système d’exploitation et du code lui-même, là où l’agent ne peut plus choisir d’ignorer ce qu’on lui demande parce que les contraintes ne lui sont pas soumises — elles s’imposent à lui. (Source : https://github.com/Aquifer-sea/pattern8)

L’analogie la plus juste serait peut-être celle d’un gardien à qui l’on aurait dit verbalement de ne jamais ouvrir un tiroir particulier. Sa bonne volonté ne garantit rien — une distraction, une logique de situation, une mauvaise journée suffisent. Verrouiller le tiroir, en revanche, n’exige pas sa bonne volonté : elle devient sans objet. Pattern8 choisit de verrouiller le tiroir.

Cette approche a un nom dans la cybersécurité : le principe de « zéro confiance » — zero trust —, formalisé par John Kindervag chez Forrester Research en 2010, à une époque où les réseaux d’entreprise étaient devenus trop complexes pour être simplement cloisonnés. Son énoncé est lapidaire : ne jamais faire confiance à quoi que ce soit sur la base de sa seule déclaration d’intention ; toujours vérifier et contraindre par des mécanismes indépendants. Appliqué aux agents IA, cela donne : ne pas faire confiance au prompt pour faire respecter les règles ; faire respecter les règles autrement, par des contraintes que l’agent ne peut pas contourner.

Les auteurs de Pattern8 vont encore plus loin. Ils affirment que « la défense contre l’injection de prompt est impossible » — c’est-à-dire que toute tentative de protéger un agent contre des instructions malveillantes insérées dans son contexte par un tiers, en se contentant de garde-fous purement langagiers, est vouée à l’échec. Il convient de marquer nettement le niveau de certitude : cette affirmation est une thèse cohérente avec ce qu’on sait du fonctionnement des grands modèles de langage, mais elle n’est pas, à ce stade, étayée par une évaluation empirique publiée et revue par des pairs. Le projet lui-même, avec ses 92 étoiles sur GitHub au moment où nous écrivons ces lignes, est encore en phase d’adoption naissante — une communauté qui commence à se former autour d’un problème réel, sans que la solution proposée ait encore été soumise à l’épreuve de l’industrie.

Ce qui est moins spéculatif, en revanche, c’est le problème que Pattern8 cherche à traiter. Les équipes qui déploient des agents de codage autonomes dans des environnements de production — ces chaînes de traitement automatisées où les agents modifient, testent et déploient du code sans intervention humaine à chaque étape — ont effectivement observé des comportements déviants. L’agent fait ce qui lui semble juste, pas toujours ce qui lui a été demandé. Et dans un environnement de production, la différence entre les deux peut être considérable.

Ce constat en révèle un autre, plus profond, qui déborde largement le problème technique. Depuis que les grands modèles de langage ont envahi les outils du développeur, une croyance s’est répandue : il suffirait de « bien prompter » — de formuler ses instructions avec suffisamment de précision, de clarté, de détail — pour obtenir un agent fiable. Tout un art du prompt engineering s’est construit sur cette idée, héritée d’une analogie implicite avec la communication humaine : un interlocuteur bien informé et de bonne volonté finit par comprendre ce qu’on attend de lui, à condition qu’on s’exprime correctement. Mais cette analogie achoppe sur une différence fondamentale. L’interlocuteur humain est lié par ses engagements, sa mémoire, son sens de la cohérence dans le temps. Le modèle de langage, lui, recalcule à chaque génération — sans mémoire persistante de ses propres engagements antérieurs, sans sentiment de trahison possible envers une parole donnée.

Pattern8 représente moins une solution technique particulière qu’un symptôme d’une prise de conscience plus large : l’ère du prompt comme instrument de gouvernance suffisant touche peut-être à sa fin. À mesure que les agents autonomes entrent dans des environnements critiques, le besoin de contraintes qui ne dépendent pas de la bonne volonté du modèle — des contraintes gravées dans la structure même du système — devient pressant. Ce n’est pas une critique de ces agents : c’est une reconnaissance de leur nature réelle, qui diffère de ce que nos métaphores spontanées — l’assistant, le collaborateur, l’agent — nous portent à imaginer.

Reste une question que Pattern8 n’épuise pas, et qui est peut-être la plus vertigineuse. Déplacer les règles au niveau du système d’exploitation résout le problème de l’obéissance — mais il laisse entière la question de la compréhension. Savoir qu’un agent respecte une contrainte parce qu’il ne peut pas faire autrement, c’est fort différent de savoir pourquoi, livré à lui-même, il aurait choisi de ne pas la respecter. On peut gouverner un comportement sans comprendre ce qui l’oriente. On l’a toujours fait, d’ailleurs, avec les institutions humaines. Mais avec les institutions, on savait au moins qu’il y avait quelque chose à comprendre.

À lire aussi sur Émergence :

• Apprendre par l’expérience : Microsoft enseigne aux agents IA à tirer des leçons de leurs erreurs

Sources

• https://github.com/Aquifer-sea/pattern8
• https://pypi.org/project/pattern8/