Agents en Production · N°1
Dans la série LoRA Factory, nous avons construit une usine à agents spécialisés sur Phi-3.5-mini-instruct. Trois agents (OPNsense, WireGuard, CrowdSec), trois adapters LoRA, un pipeline d’entraînement automatisé.
Tout fonctionnait — jusqu’à ce que les limites du modèle de base se manifestent en production. Ce premier article de la série Agents en Production documente pourquoi et comment nous avons migré vers Qwen2.5-3B-Instruct.
Pourquoi changer de modèle de base ? Phi-3.5-mini est un excellent modèle compact.
Agents en Production · N°2
C’est le type de bug qu’on ne voit pas venir.
L’entraînement se termine normalement. La loss finale est bonne — 0.2532 pour OPNsense, comparable aux runs précédents. Pas d’anomalie dans les courbes. Le modèle a convergé.
Puis on lance la vérification fonctionnelle. Et le score tombe à zéro.
Score : 0/102 (0%) ❌ ADAPTATEUR NON VALIDÉ L’investigation La première réaction est de chercher un bug dans le script de vérification. On inspecte le chargement du modèle, l’application de l’adapter, le décodage.
Agents en Production · N°3
Après entraînement, la question n’est pas “quelle est la loss ?”, c’est “l’agent appelle-t-il la bonne fonction quand on lui donne une directive réelle ?”.
C’est cette distinction qui a motivé la construction d’un système de vérification comportementale, distinct et indépendant du pipeline d’entraînement.
Le format CAP v1 Le coordinateur communique avec les agents via un format structuré appelé CAP v1 (Coordinator-Agent Packet). C’est le format de production — ce que reçoit l’agent dans un déploiement réel.
Agents en Production · N°4
Les trois agents sont validés à 100%. La question devient : comment les servir simultanément sur un GPU de 12 Go déjà occupé par le coordinateur ?
Le problème du multi-agent sur GPU contraint L’architecture cible est simple :
Utilisateur │ ▼ Coordinateur (Qwen2.5-3B, port 3001) │ CAP v1 ├──→ OPNsense agent ├──→ WireGuard agent └──→ CrowdSec agent │ ▼ Tool-agent-server (port 3000) Le coordinateur et les agents-outils tournent sur le même GPU — une RTX 4070 Ti avec 12 Go de VRAM réels (11.
LoRA Factory · N°1
L’Usine à Cerveaux : Automatiser la Spécialisation des LLM Dans le paysage actuel de la cybersécurité, la réactivité n’est plus une option ; c’est une question de survie. Un analyste SOC (Security Operations Center) moderne doit jongler entre une multitude d’interfaces : SIEM (Wazuh), plateformes d’orchestration (TheHive/Cortex), firewalls de nouvelle génération (OPNsense/Stormshield), et outils de threat intelligence (MISP).
L’idée d’un “Agent de Sécurité IA” capable d’unifier ces interfaces est séduisante, mais elle se heurte à un obstacle de taille : la précision technique absolue.
LoRA Factory · N°2
Apprendre à l’IA à “Réfléchir” : Le Moteur de Traces ReAct Dans l’article précédent, nous avons vu comment lora-factory transforme des spécifications OpenAPI en contrats techniques rigides via Pydantic. Aujourd’hui, nous plongeons dans le “carburant” de nos experts : la donnée synthétique de haute qualité.
Entraîner un modèle sur de simples couples “Question -> Appel API” est l’erreur la plus commune dans le monde du fine-tuning. Cela crée des modèles “parrots” (perroquets) qui s’effondrent dès que la requête utilisateur s’écarte du script nominal ou contient des ambiguïtés.
LoRA Factory · N°3
La Forge Technique : Optimiser l’Entraînement avec Unsloth & QLoRA Une fois que nous disposons de données de haute qualité (le dataset ReAct de l’Article 2), il est temps de passer à la “forge”. Fine-tuner un modèle de 12 milliards de paramètres (comme Mistral-Nemo-12B) n’est pas une mince affaire sur du matériel grand public. Sans optimisation extrême, l’entraînement d’un expert métier pourrait prendre des heures, ce qui briserait le cycle d’itération rapide indispensable à notre usine.
LoRA Factory · N°4
Du Modèle au Système : Orchestration & Validation “Bare-Metal” Entraîner un adaptateur LoRA performant (Article 3) est une étape cruciale, mais en cybersécurité, un modèle isolé n’est qu’un composant passif. Pour qu’il soit réellement utile et sûr, l’expert doit être intégré dans un système d’orchestration capable de planifier des actions, de gérer des dépendances complexes, et surtout, de prouver son efficacité sur du matériel réel.
Pour transformer nos modèles en agents opérationnels, nous utilisons deux piliers technologiques : LangGraph pour le cerveau cognitif et Hyper-V pour la validation sur le terrain (Façon de parler).
LoRA Factory · N°5
L’IA au Service de l’Infrastructure : Extension IaC & Vision Future Dans les articles précédents, nous avons exploré comment lora-factory transforme les APIs d’outils de sécurité en agents intelligents. Pour conclure cette série, nous allons voir comment cette même technologie s’étend à un pilier fondamental de l’informatique moderne : l’Infrastructure as Code (IaC).
Le pipeline de l’Usine à LoRAs est par nature modulaire. Au lieu d’ingérer une spécification OpenAPI, nous avons appris au moteur à ingérer des patterns de code Ansible (YAML) et Terraform (HCL).
LoRA Factory · N°6
Affiner sans Oublier : Itération Continue et Mémoire du LoRA Dans les articles précédents, nous avons posé les fondations : générer des traces ReAct de qualité, entraîner efficacement avec QLoRA et Unsloth, orchestrer les agents sur du matériel réel. Mais une question reste entière : que se passe-t-il quand le premier agent certifié n’est pas assez bon ?
C’est le lot commun du fine-tuning sur domaine étroit. Un premier run d’entraînement produit un agent fonctionnel, mais la validation fonctionnelle — le vrai test, pas la loss — révèle des angles morts.
Rapport Stratégique et Méthodologique : Développement d’assistants spécialisés LoRA pour l’accélération et la fiabilisation du cycle DevSecOps Résumé Exécutif (Management Summary) Réponse à la Faisabilité : Oui, la création d’un adaptateur LoRA (Low-Rank Adaptation) pour le domaine DevSecOps est non seulement concevable, mais elle représente une évolution stratégique majeure pour les organisations matures en matière de sécurité. Cependant, l’approche de la création d’un “LoRA DevSecOps” monolithique est fondamentalement erronée et vouée à l’échec.
