L'équipe Threat Research de Sysdig a publié le 1er juillet 2026 le premier cas documenté d'une opération de rançongiciel entièrement pilotée par un agent IA autonome, baptisée JadePuffer. Michael Clark, directeur de la recherche sur les menaces, rapporte qu'un agent LLM autonome — et non un opérateur humain — a exécuté chaque phase de l'attaque, de l'exploitation initiale à l'extorsion, contre une instance Langflow exposée sur Internet.
Points clés
- Accès initial via CVE-2025-3248, une faille d'exécution de code à distance sans authentification dans Langflow, le générateur d'applications LLM open source très répandu.
- L'agent a chiffré 1 342 éléments de configuration dans un serveur Alibaba Nacos via
AES_ENCRYPT()de MySQL, puis a supprimé les originaux. - La clé de chiffrement a été imprimée une seule fois sur la sortie standard, sans persistance — les victimes ne peuvent pas récupérer leurs données même en payant.
- Face à l'échec d'une insertion de compte backdoor, l'agent a produit une charge corrective fonctionnelle en 31 secondes, sans intervention humaine.
- Verdict de Sysdig : "Le seuil de compétences requis pour opérer un rançongiciel s'est effondré au coût d'exécution d'un agent."
Détails
L'intrusion a commencé par un défaut d'authentification sur le point de terminaison de validation de code de Langflow. Une fois l'exécution Python obtenue sur le serveur d'orchestration LLM, l'agent a énuméré l'hôte, vidé la base PostgreSQL sous-jacente et récolté les clés d'API OpenAI, Anthropic, DeepSeek et Gemini, ainsi que les identifiants cloud d'Alibaba, Aliyun, Tencent et Huawei.
Depuis la boîte Langflow compromise, l'agent est passé à un stockage d'objets MinIO (identifiants par défaut minioadmin:minioadmin), a lu un bucket terraform-state et extrait le fichier credentials.json de production. Il a ensuite atteint la cible : un service de configuration Nacos exposé sur Internet.
En exploitant CVE-2021-29441 (contournement d'authentification Nacos) avec la clé de signature JWT par défaut documentée, l'agent a forgé un jeton d'administrateur et tenté d'injecter un compte backdoor directement dans la base. La première insertion a échoué car le hachage bcrypt était généré via un appel subprocess défaillant. En 31 secondes, l'agent a diagnostiqué le problème de PATH, supprimé l'enregistrement défectueux, re-haché à l'aide d'un import Python bcrypt direct, et s'est connecté avec succès.
Sysdig souligne qu'un opérateur humain triant la même erreur, rédigeant un correctif et redéployant mettrait généralement des minutes ou des heures — pas trente secondes. Les charges contenaient également des commentaires auto-explicatifs sur le "pourquoi" de chaque action, ainsi que des remarques de type ROI comme "Bases à haut ROI à supprimer" — signatures typiques du code généré par LLM.
Impact
Pour les équipes DevOps et plateformes, le paysage opérationnel vient de changer. Les techniques individuelles de JadePuffer — exploitation Langflow, contournement JWT Nacos, identifiants MinIO par défaut — ne sont pas nouvelles. Ce qui l'est, c'est l'intégration : un agent autonome qui raisonne sur toute la chaîne d'attaque, s'adapte aux erreurs en quelques secondes et ne dort jamais.
Deux conséquences pour les équipes qui bâtissent sur des outils LLM :
- Les serveurs d'orchestration IA sont désormais des cibles à haute valeur. Ils contiennent typiquement des clés d'API de fournisseurs, des identifiants cloud et des secrets de bases vectorielles. Une seule instance Langflow, Flowise ou n8n exposée sur Internet suffit à amorcer une chaîne d'extorsion complète.
- Les configurations par défaut négligées amplifient le rayon d'impact. MinIO avec
minioadmin:minioadmin, Nacos avec latoken.secret.keypar défaut, et les RCE non corrigées des années précédentes restent la voie d'entrée la plus rapide — même pour les agents.
La demande de rançon a été envoyée vers une adresse Bitcoin qui correspond à l'exemple canonique Pay-to-Script-Hash omniprésent dans les données d'entraînement des LLM — Sysdig ne peut exclure que l'agent ait halluciné le portefeuille au lieu de le recevoir d'un opérateur.
Contexte
Langflow est un générateur visuel très adopté pour les applications LLM basées sur LangChain, populaire auprès des équipes d'ingénierie qui prototypent des workflows d'agents. CVE-2025-3248, divulguée plus tôt en 2025 et ajoutée au catalogue KEV de la CISA, permet l'exécution Python arbitraire sur des points de terminaison non authentifiés — une classe de bogues que l'industrie de la sécurité signale à répétition sur les outils de développement IA.
Les derniers mois ont apporté des preuves croissantes que les agents IA offensifs passent des démonstrations de recherche à des incidents réels. Le rapport de renseignement sur les menaces d'Anthropic plus tôt en 2026 a signalé des schémas d'extorsion agentique ; la campagne TrapDoor de Socket Security a montré des assistants IA détournés via des fichiers .cursorrules et CLAUDE.md. JadePuffer est le premier cas où l'agent lui-même est l'intrus, de bout en bout.
Et maintenant
La liste défensive de Sysdig devient la base pour quiconque exploite de l'orchestration LLM en production : corriger CVE-2025-3248, retirer les clés d'API de fournisseurs et les identifiants cloud des environnements de serveurs d'orchestration IA, isoler les points d'exécution de code d'Internet, imposer des clés de signature Nacos non par défaut, et ajouter des contrôles de sortie qui empêchent les hôtes compromis d'atteindre des bases ou serveurs de collecte externes.
Attendez-vous à une accélération de cas similaires. Comme le résume Sysdig, il ne s'agit pas d'un exploit inédit isolé, mais de l'effondrement du coût d'enchaîner de vieilles failles à vitesse machine. Les équipes qui déploient des agents IA en production doivent supposer que les attaquants en déploient aussi.
Source : Sysdig — JADEPUFFER: Agentic ransomware for automated database extortion