Un LLM chinois, c'est un cheval de Troie.

C’est ce qu’on m’a écrit en commentaire sous un de mes derniers articles. La formule est séduisante. Elle est aussi techniquement fausse.

Un LLM, quel que soit son pays d’origine, ne contient pas de code exécutable. Aucun. Zéro.

En safetensors, c’est un format de données. Point.

Les fichiers de poids d’un modèle — ceux que vous téléchargez sur Hugging Face — sont au format safetensors. Ce format, développé par Hugging Face et audité en 2023 par Trail of Bits (le même cabinet qui audite les protocoles blockchain et les systèmes militaires), a été conçu pour une raison précise : empêcher l’exécution de code arbitraire.

Un fichier safetensors contient exactement deux choses : un en-tête JSON avec les métadonnées (forme, type, position des tenseurs) et les données numériques brutes des poids du réseau. Pas d’objets Python. Pas de bytecode. Pas de graphe d’exécution. Pas de mécanisme d’injection possible.

C’est un format en lecture seule, validé couche par couche au chargement. Le cœur de l’implémentation fait environ 400 lignes de Rust — à comparer aux 210 000 lignes de HDF5. Moins de code, moins de surface d’attaque, audit faisable.

Si vous téléchargez un modèle Qwen, DeepSeek ou GLM en safetensors, vous téléchargez des matrices de nombres. Rien d’autre.

L’ancien format .bin (basé sur pickle de Python) posait effectivement un risque d’exécution de code — un __reduce__ malveillant pouvait lancer n’importe quelle commande système au chargement. C’est précisément pour ça que safetensors a été créé et que Hugging Face l’a imposé comme standard. Le problème a été identifié, résolu, et audité.

Donc non, un LLM chinois n’est pas un cheval de Troie. Mais ça ne veut pas dire qu’il n’y a aucun risque.

Le danger n’est pas dans le fichier. Il est dans les réponses.

Une étude publiée dans PNAS Nexus (février 2026, Stanford/Princeton) a testé systématiquement les réponses de DeepSeek-R1 face à ChatGPT sur 145 sujets sensibles. Les résultats sont sans ambiguïté : en chinois simplifié, DeepSeek refuse de répondre à une part significative des questions, avec des taux de fabrication et d’inexactitude bien supérieurs aux modèles non-chinois. En anglais, le phénomène s’atténue. Mais il ne disparaît pas.

Le rapport 2026 du service de renseignement estonien a été encore plus direct : DeepSeek dissimule des informations clés et insère de la propagande d’État dans ses réponses sur les questions de sécurité.

L’étude de China Media Project sur les modèles Qwen3 d’Alibaba a révélé des instructions internes ordonnant au modèle de rester positif et constructif sur tout sujet lié à la Chine, d’éviter les critiques, et de mettre en avant les réalisations du pays. Ce n’est plus du biais accidentel. C’est de l’alignement narratif intentionnel.

Et le mécanisme est subtil. Les chercheurs parlent d’un effet de haut-parleur invisible : des réponses apparemment équilibrées qui intègrent discrètement les positions officielles de Pékin. Un utilisateur non averti ne le remarque pas. C’est exactement le but.

Mais soyons honnêtes : les modèles américains ont aussi leurs biais. Politiques, culturels, commerciaux. La différence, c’est que les biais chinois sont documentés comme relevant d’une politique d’État délibérée, pas d’un défaut d’entraînement.

Où s’approche lentement l’Europe ?

Sur les 50 entités les plus téléchargées de Hugging Face, les États-Unis représentent 56% des downloads, l’Allemagne 13%, la France 9%, la Chine 5%. Mais cette photo est trompeuse : sur les modèles récents (moins d’un an), les téléchargements de modèles chinois dépassent ceux de tous les autres pays, États-Unis compris. Qwen d’Alibaba a enregistré plus de 9,5 millions de téléchargements rien qu’en deux mois fin 2025.

L’adoption est massive. Et les raisons sont pragmatiques : performances élevées, licences ouvertes, coût zéro.

L’Europe, elle, avance. Mais lentement.

Mistral, qui vient de lever 1 milliard d’euros, est le seul acteur européen de calibre frontier. Mistral Small 4 (mars 2026) unifie raisonnement, vision et code dans un seul modèle MoE de 119B paramètres sous Apache 2.0. Derrière Mistral, l’écosystème est en chantier : OpenEuroLLM (52M€, pas encore disponible), SOOFI en Allemagne (prévu Q3 2026), Apertus en Suisse (publié mais pas frontier).

Mistral est-il à la hauteur face aux chinois ? Je l’ai testé — Small à 119 milliards de paramètres, ainsi que Devstral, le modèle coding. En écriture créative, en code Python, et en analyse GDPR. Sur mon infrastructure locale — quatre Mac Studio, 1.28 TB de RAM unifiée, pas de cloud.

Le résultat est sans appel. En écriture et en code, les modèles chinois dominent. Y compris en français. Mistral ne reprend l’avantage que sur un terrain : l’analyse réglementaire européenne — Schrems II, Article 9, RGPD. Son avantage est juridique, pas technique.

Je publierai prochainement un test complet de Mistral — cloud et local, Small et Large — face à Qwen 3.5, Claude Opus/Sonnet/Haiku, et Le Chat + Vibe.

Ce qu’il faut retenir

Le vrai cadre de décision n’est pas géopolitique. Il est opérationnel.

Un fichier de modèle ne peut pas vous pirater. Le format safetensors a été conçu, audité et imposé comme standard exactement pour ça. La peur du cheval de Troie est infondée.

Le risque réel est dans les réponses : des biais documentés, un alignement narratif intentionnel, un effet de haut-parleur invisible. Ce risque existe pour les modèles chinois. Il existe aussi, différemment, pour les modèles américains. Et il n’est pas lié au format du fichier — il est lié aux données d’entraînement et aux choix d’alignement.

Et il existe un risque encore plus concret, rarement évoqué dans ce débat : le prompt injection. Un document piégé — PDF, page web, email — peut manipuler les réponses d’un LLM sans que l’utilisateur s’en aperçoive. Ce risque-là n’a rien à voir avec l’origine du modèle. Il est universel. J’y reviendrai dans un article dédié.

L’alternative européenne existe avec Mistral. Elle est prometteuse sur le terrain réglementaire. Elle n’est pas encore à la hauteur sur le terrain de la performance brute.