Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
JadePuffer : une IA orchestre une attaque de ransomware
Un agent IA aurait mené seul une attaque de ransomware, de l’exploitation d’une faille au chiffrement des données. Avec JadePuffer, Sysdig décrit une opération automatisée, efficace, bien qu’encore perfectible.
JadePuffer pourrait bien marquer une étape importante dans l’automatisation des cyberattaques. Les chercheurs de Sysdig estiment avoir documenté le premier cas d’opération de ransomware pilotée de bout en bout par un agent LLM, et non par de simples scripts générés par IA. Après avoir exploité une faille dans Langflow, l’agent aurait poursuivi l’intrusion seul, du vol de secrets au mouvement latéral, tout en corrigeant ses erreurs en temps réel. Une démonstration encore imparfaite, mais déjà assez autonome pour inquiéter.
Un ransomware autonome, mais encore maladroit
Dans le détail, JadePuffer aurait d’abord exploité une faille d’exécution de code à distance dans Langflow (CVE-2025-3248), un framework open source utilisé pour créer des applications liées aux LLM. Une cible intéressante pour les attaquants, puisque ce type d’instance peut concentrer des clés API, des identifiants cloud ou des secrets donnant accès à d’autres services.
À partir de ce premier accès, l’agent aurait mené seul le travail d’exploration :
- Inventaire de l’environnement
- Recherche d’identifiants
- Repérage des services accessibles
- Sélection des cibles à privilégier
Sysdig indique aussi avoir retrouvé des charges utiles très commentées, avec des explications en langage naturel sur les actions menées, leurs objectifs et les corrections à apporter.
L’attaque aurait ensuite rebondi vers un serveur de production exposant une base MySQL et Alibaba Nacos, un outil qui aide les services d’une application à se trouver et à partager leurs paramètres de configuration. Après une tentative de connexion ratée sur Nacos, l’agent aurait modifié sa méthode et obtenu un accès fonctionnel en 31 secondes, signe d’une automatisation capable d’observer l’échec, d’en tirer une correction et de poursuivre l’intrusion.
JadePuffer serait alors passé à l’extorsion. L’agent aurait chiffré 1 342 éléments de configuration, détruit les originaux et laissé une demande de rançon. Pour autant, l’opération ne se serait pas tout à fait terminée comme prévu : d’après les chercheurs, la clé de chiffrement aurait été générée sans être stockée ni transmise aux attaquants, puis perdue aussitôt.
L’adresse Bitcoin affichée dans la demande de rançon correspondrait aussi à une adresse d’exemple très répandue dans la documentation Bitcoin, ce qui laisse penser que l’agent a pu reprendre un modèle générique plutôt qu’une vraie adresse de paiement. Une attaque pilotée par IA efficace dans son exécution, donc, mais pas encore très au point côté extorsion.
Des attaques moins expertes, mais plus faciles à lancer
Pour Sysdig, le danger que représente JadePuffer ne repose pas tant sur des techniques inédites que sur leur automatisation. Un agent IA peut tester des failles connues, chercher des secrets, réutiliser des identifiants, rebondir entre plusieurs services et adapter ses actions sans qu’un opérateur humain maîtrise chaque étape en détail. Autrement dit, le niveau technique nécessaire pour mener une attaque destructrice baisse nettement.
Il faut donc corriger les instances Langflow contre CVE-2025-3248 et, plus largement, maintenir à jour les services exposés. Les fonctions d’exécution ou de validation de code ne devraient pas être accessibles directement depuis Internet. Même prudence avec les clés API et les identifiants cloud, qui n’ont pas leur place dans l’environnement d’applications ouvertes en ligne.
Côté Nacos, Sysdig recommande de changer les clés par défaut, de mettre le service à jour et d’éviter toute exposition directe. Même logique pour les bases de données :
- Pas d’accès administrateur quand un compte limité suffit
- Pas de ports ouverts sans restriction
- Pas de connexions sortantes libres
- Pas de privilèges plus larges que nécessaire

