refactor(sprint-S9): simplifier les défenses anti-régression prompt — -77 lignes

Revert partiel du commit 20af117 sur questionnement légitime :
"c'était pas plus simple avant ?". Les 3 défenses ajoutées hier
étaient du bricolage défensif après-coup — heuristiques ad-hoc,
checks redondants, contrats cassés.

Garde-fous gardés
-----------------

1. **OCRLLMPipelineConfig.__post_init__** : check minimal —
``prompt_template`` non-vide sans aucune accolade → ``ValueError``.
Une ligne, sémantique claire : un prompt LLM substituable a
forcément au moins une accolade. Capture le cas
``correction_*.txt`` injecté tel quel.

2. **Test d'intégration end-to-end**
(``test_s9_prompt_loading_defenses.py``) : mock du LLM qui
capture le prompt envoyé via le flux factory web → pipeline
→ LLM. Le seul filet qui prouve réellement que ``thou hast``
et ``Early Modern English`` arrivent au LLM (pas le filename).
C'est ce filet qui aurait pris le bug initialement.

Bricolage retiré
----------------

1. ``OCRLLMPipelineConfig`` : suppression de l'heuristique
"ressemble à un filename" (``.endswith(".txt")`` + pas de
newline + < 256 chars). Ad-hoc, n'apporte rien — le check
``"{" not in template`` couvre déjà le cas.

2. ``_substitute_prompt_variables`` : suppression du check
"pas de placeholder → raise ValueError". Redondant avec
le check au niveau ``OCRLLMPipelineConfig``, et a cassé
un test légitime du contrat strict ``str.format`` (qui
doit lever ``KeyError`` sur variable inconnue, pas
``ValueError`` sur absence de placeholder connu).

3. ``BaseLLMAdapter.complete`` : retour à ``if param_prompt is
not None:`` (au lieu de ``if param_prompt:``). Le cas
``param_prompt = ""`` est marginal et géré ailleurs ; le
contrat original "None signifie absent" est respecté.

Tests
-----

- ``test_rewrite_format_unknown_variable_raises`` : revert à
``KeyError`` attendu (contrat strict format d'origine).
- Classe ``TestSubstituteRejectsTemplateWithoutPlaceholder``
supprimée (défense retirée).
- ``test_filename_passed_as_template_rejected`` : message
attendu simplifié (``accolade|filename`` au lieu du diagnostic
multilignes avec heuristique).
- Test ``test_string_without_brace_rejected`` ajouté pour
vérifier que la défense minimale couvre aussi les strings
non-filename sans placeholder.

Le bug initial reste impossible à reproduire grâce à :
- ``_load_prompt_content`` côté factory web (fix racine, commit
``f7f7ea8``).
- Validation minimale au constructeur ``OCRLLMPipelineConfig``.
- Test d'intégration qui capture le prompt réel envoyé au LLM.

Régression : 4578 passed, 0 failed, ruff clean.

picarones/adapters/llm/base.py

@@ -162,21 +162,6 @@ def _substitute_prompt_variables(
             .replace("{ocr_output}", text)
             .replace("{image_b64}", image_b64 or "")
         )
-    # Convention rewrite : ``{text}`` est l'unique placeholder.
-    # Défense en profondeur (Sprint S9) : si la string n'a aucun
-    # placeholder de substitution, ``template.format(text=text)``
-    # retournerait la string inchangée sans erreur — ce qui faisait
-    # passer un filename (``correction_*.txt``) au LLM en prod.
-    # On lève maintenant explicitement : un template sans
-    # placeholder est sémantiquement vide (le LLM ignorerait l'OCR).
-    if "{text}" not in template:
-        raise ValueError(
-            "Prompt template invalide : aucun placeholder "
-            "``{ocr_output}``, ``{text}`` ou ``{image_b64}`` "
-            "trouvé.  Le LLM recevrait une string fixe.  "
-            "Probable cause : un filename a été injecté au "
-            "lieu du contenu du fichier prompt.",
-        )
     return template.format(text=text)
 
 
@@ -449,13 +434,8 @@ class BaseLLMAdapter(ABC):
         #    de l'adapter — pattern historique).
         # 3. Prompt par langue selon ``self.config["lang"]``.
         # 4. Fallback FR.
-        # ``""`` est traité comme "pas fourni" (au même titre que
-        # ``None``) — on tombe sur le défaut de l'adapter.  Avant
-        # Sprint S9, ``""`` était propagé jusqu'à
-        # ``_substitute_prompt_variables`` qui retournait ``""``
-        # silencieusement, laissant le LLM voir une string vide.
         param_prompt = params.get("prompt_template") if params else None
-        if param_prompt:
+        if param_prompt is not None:
             prompt_template = param_prompt
         else:
             custom_prompt = self.config.get("correction_prompt")

picarones/pipeline/llm_pipeline_config.py

@@ -90,41 +90,22 @@ class OCRLLMPipelineConfig:
                 "OCRLLMPipelineConfig : mode 'zero_shot' ne doit pas "
                 "avoir d'``ocr_adapter`` (le VLM lit l'image directement).",
             )
-        # Garde-fou Sprint S9 — anti-régression du bug "filename passé
-        # à la place du contenu" (cf. ``tests/web/test_s9_prompt_loading.py``).
-        # ``prompt_template`` est censé être le contenu BRUT du prompt
-        # (déjà lu depuis disque par le caller), pas un identifiant de
-        # ressource.  Un template sans aucun placeholder de substitution
-        # est sémantiquement invalide : le LLM recevrait une string fixe
-        # qui ignore le texte OCR et halluciinerait une réponse plausible.
-        # Le filename ``correction_*.txt`` était précisément ce cas.
-        if self.prompt_template:
-            has_placeholder = any(
-                marker in self.prompt_template
-                for marker in ("{ocr_output}", "{text}", "{image_b64}")
+        # Sprint S9 — garde-fou minimal contre l'oubli de chargement
+        # du contenu : un template non-vide sans aucune accolade ne
+        # peut pas être un prompt LLM substituable.  Capture le cas
+        # ``correction_*.txt`` passé tel quel comme template (cf.
+        # tests/integration/test_s9_prompt_loading_defenses.py pour
+        # le contexte du bug).
+        if self.prompt_template and "{" not in self.prompt_template:
+            raise ValueError(
+                "OCRLLMPipelineConfig : ``prompt_template`` ne contient "
+                "aucune accolade — un prompt LLM substituable a au "
+                "moins un placeholder ``{ocr_output}``, ``{text}`` ou "
+                "``{image_b64}``.  Probable cause : un filename a été "
+                "injecté au lieu du contenu (charge via "
+                "``Path(prompts_dir / filename).read_text()`` avant "
+                "d'instancier).",
             )
-            if not has_placeholder:
-                # Heuristique pour aider au diagnostic : si la string
-                # ressemble à un filename, on le dit explicitement.
-                looks_like_filename = (
-                    self.prompt_template.endswith(".txt")
-                    and "\n" not in self.prompt_template
-                    and len(self.prompt_template) < 256
-                )
-                hint = (
-                    " (la string ressemble à un nom de fichier — "
-                    "as-tu oublié de charger le contenu via "
-                    "``Path(prompts_dir / filename).read_text()`` "
-                    "avant de l'injecter ?)"
-                    if looks_like_filename else ""
-                )
-                raise ValueError(
-                    "OCRLLMPipelineConfig : ``prompt_template`` ne "
-                    "contient aucun placeholder substituable "
-                    "(``{ocr_output}``, ``{text}`` ou ``{image_b64}``). "
-                    "Le LLM recevrait une string fixe et ignorerait "
-                    f"le texte OCR.{hint}",
-                )
 
     @property
     def name(self) -> str:

tests/adapters/llm/test_s8_base_utilities.py

@@ -114,14 +114,13 @@ class TestSubstitutePromptVariables:
         )
         assert result == "x|"
 
-    def test_template_without_known_placeholder_raises(self) -> None:
-        """Sprint S9 — la défense au niveau substitution refuse
-        tout template qui n'a aucun placeholder connu
-        (``{ocr_output}``, ``{text}``, ``{image_b64}``).  Avant
-        S9, ce test attendait un ``KeyError`` de ``str.format`` ;
-        le contrat est maintenant strict en amont : pas de
-        placeholder = template invalide."""
-        with pytest.raises(ValueError, match="placeholder|filename"):
+    def test_rewrite_format_unknown_variable_raises(self) -> None:
+        """Le mode rewrite passe par ``str.format`` → variable
+        inconnue lève ``KeyError`` (comportement strict d'origine
+        documenté).  Le filtrage "filename → contenu" se fait au
+        niveau ``OCRLLMPipelineConfig.__post_init__`` (Sprint S9),
+        pas ici."""
+        with pytest.raises(KeyError):
             _substitute_prompt_variables(
                 "{unknown_var}", text="x", image_b64=None,
             )

tests/integration/test_s9_prompt_loading_defenses.py

@@ -1,24 +1,20 @@
-"""Sprint S9 — défenses anti-régression pour la classe de bugs
-"filename passé à la place du contenu".
+"""Sprint S9 — garde-fous anti-régression pour le bug
+"filename passé à la place du contenu" (post-correction LLM).
 
-Trois niveaux de garde-fou indépendants :
+Deux niveaux de garde-fou :
 
 1. **Contrat ``OCRLLMPipelineConfig.__post_init__``** : refuse un
-   ``prompt_template`` non-vide sans placeholder substituable.
-   Catch le bug au point de violation du contrat (instanciation).
-
-2. **Substitution ``_substitute_prompt_variables``** : refuse de
-   "substituer" un template sans placeholder.  Defense en
-   profondeur si quelqu'un court-circuite le constructeur (par ex.
-   via ``object.__setattr__`` ou un fichier frozen dataclass
-   patché).
-
-3. **Test d'intégration** : mock du LLM qui capture le prompt
-   réellement envoyé, exécution d'un pipeline réel, assertion
-   que le prompt capturé est le **contenu** du fichier prompt
-   (pas le filename).  C'est le filet que la suite de tests
-   pré-S9 n'avait pas — chaque couche était testée en isolation,
-   personne ne vérifiait le bout-en-bout du flux post-correction.
+   ``prompt_template`` non-vide sans aucune accolade.  Check
+   minimal qui capture le cas ``correction_*.txt`` injecté tel
+   quel comme template.
+
+2. **Test d'intégration** : mock du LLM qui capture le prompt
+   réellement envoyé, exécution du factory web → pipeline → LLM,
+   assertion que le prompt capturé est le **contenu** du fichier
+   prompt (pas le filename).  C'est le filet manquant pré-S9
+   qui aurait pris le bug en amont — chaque couche était testée
+   en isolation, personne ne vérifiait le bout-en-bout du flux
+   post-correction.
 """
 
 from __future__ import annotations
@@ -45,33 +41,30 @@ class TestPipelineConfigRefusesInvalidTemplate:
             OCRLLMPipelineConfig,
         )
 
-        with pytest.raises(ValueError) as exc_info:
+        with pytest.raises(ValueError, match="accolade|filename"):
             OCRLLMPipelineConfig(
                 ocr_adapter=TesseractAdapter(lang="fra"),
                 llm_adapter=OpenAIAdapter(model="gpt-4o"),
                 mode="text_only",
                 prompt_template="correction_early_modern_english.txt",
             )
-        msg = str(exc_info.value)
-        assert "placeholder" in msg.lower()
-        # Le message doit pointer le diagnostic : ressemble à un filename.
-        assert "fichier" in msg.lower() or "filename" in msg.lower()
-
-    def test_random_string_without_placeholder_rejected(self) -> None:
-        """Pas qu'un filename — toute string sans placeholder est
-        refusée car sémantiquement vide pour la post-correction."""
+
+    def test_string_without_brace_rejected(self) -> None:
+        """Toute string non-vide sans accolade est refusée — pas
+        seulement les filenames.  Le LLM recevrait une string fixe
+        qui ignore l'OCR."""
         from picarones.adapters.llm.openai_adapter import OpenAIAdapter
         from picarones.adapters.ocr.tesseract import TesseractAdapter
         from picarones.pipeline.llm_pipeline_config import (
             OCRLLMPipelineConfig,
         )
 
-        with pytest.raises(ValueError, match="placeholder"):
+        with pytest.raises(ValueError, match="accolade"):
             OCRLLMPipelineConfig(
                 ocr_adapter=TesseractAdapter(lang="fra"),
                 llm_adapter=OpenAIAdapter(model="gpt-4o"),
                 mode="text_only",
-                prompt_template="Corrige ce texte.",  # pas de placeholder
+                prompt_template="Corrige ce texte.",
             )
 
     def test_empty_template_still_allowed(self) -> None:
@@ -119,49 +112,19 @@ class TestPipelineConfigRefusesInvalidTemplate:
 
 
 # ──────────────────────────────────────────────────────────────────────
-# Niveau 2 — substitution helper
-# ──────────────────────────────────────────────────────────────────────
-
-
-class TestSubstituteRejectsTemplateWithoutPlaceholder:
-    """``_substitute_prompt_variables`` est la dernière ligne de
-    défense avant que le template atteigne le LLM.  S'il arrive
-    sans placeholder, on lève."""
-
-    def test_string_without_placeholder_raises(self) -> None:
-        from picarones.adapters.llm.base import _substitute_prompt_variables
-
-        with pytest.raises(ValueError, match="placeholder|filename"):
-            _substitute_prompt_variables(
-                "correction_medieval_french.txt",
-                text="hello",
-                image_b64=None,
-            )
-
-    def test_empty_string_returns_empty(self) -> None:
-        """Edge case : empty template → format() retourne ""
-        (pas un placeholder mais pas un bug non plus)."""
-        from picarones.adapters.llm.base import _substitute_prompt_variables
-
-        # ``""`` n'a pas ``{text}`` non plus → lève selon la nouvelle
-        # défense.  Documenté comme contrat : un template sans
-        # placeholder n'est jamais valide pour la substitution.
-        with pytest.raises(ValueError):
-            _substitute_prompt_variables("", text="x", image_b64=None)
-
-
-# ──────────────────────────────────────────────────────────────────────
-# Niveau 3 — intégration LLM end-to-end (filet manquant pré-S9)
+# Niveau 2 — intégration LLM end-to-end (filet manquant pré-S9)
 # ──────────────────────────────────────────────────────────────────────
 
 
 class TestEndToEndPromptReachesLLM:
-    """Le filet manquant : un test qui capture le prompt réel
-    envoyé au LLM lors d'une post-correction, et vérifie qu'il
-    contient bien le contenu chargé depuis disque (pas un
+    """Le filet manquant pré-S9 : un test qui capture le prompt
+    réel envoyé au LLM lors d'une post-correction, et vérifie
+    qu'il contient bien le contenu chargé depuis disque (pas un
     filename, pas une string fixe).
 
-    C'est exactement le test qui aurait pris le bug initialement.
+    C'est exactement le test qui aurait pris le bug initialement —
+    le restant des défenses est superflu tant que ce filet tourne
+    en CI.
     """
 
     def test_llm_receives_loaded_prompt_content(self, monkeypatch) -> None: