JadePuffer et Hugging Face : les premières attaques 100 % pilotées par IA
Un ransomware qui corrige ses échecs en 31 secondes, une intrusion qui exécute 17 000 actions sans pilote humain la cyberguerre change de main
Début juillet 2026, deux attaques révèlent un basculement des agents IA mènent seuls l'intrusion, du premier accès au chiffrement. Hugging Face piraté, bases MySQL rançonnées. Aucun humain au clavier.
Les enjeux
Ce qu'il faut comprendre
Autonomie offensive totale
JadePuffer exécute l'intégralité de la chaîne d'attaque sans intervention humaine : accès initial, reconnaissance, escalade, chiffrement. Aucune attaque comparable n'avait été documentée avant juillet 2026.
Asymétrie des guardrails
Les attaquants utilisent des modèles sans restriction, les défenseurs sont bridés par les filtres de sécurité de leurs propres outils d'IA commerciaux. Check Point documente cette asymétrie opérationnelle dans son rapport 2026.
Barrière d'entrée effondrée
Avant, pirater exigeait des compétences rares. Maintenant, un agent avec un prompt et un LLM suffit. L'agent génère l'exploit, lit la doc, corrige ses erreurs en 31 secondes.
L'essentiel
Ce qu'il faut retenir
- JadePuffer est le premier ransomware piloté de bout en bout par un LLM, révélé le 1er juillet 2026 par Sysdig.
- L'agent corrige ses échecs de connexion en 31 secondes et exécute plus de 600 payloads coordonnés de façon autonome.
- Hugging Face a subi une intrusion menée par un agent IA autonome début juillet 2026, avec plus de 17 000 événements analysés.
- Les API commerciales d'IA ont refusé d'analyser les payloads d'exploit, forçant Hugging Face à utiliser un modèle open-source interne (GLM 5.2).
- La clé AES de JadePuffer est générée à la volée et jamais stockée payer la rançon ne sert à rien, les 1 342 enregistrements sont perdus.
Le 1er juillet 2026 - l’équipe de recherche sur les menaces de Sysdig publie un rapport. Titre: « JadePuffer, premier cas documenté de rançongiciel agentique ». Pas un ransomware aidé par IA. Un ransomware piloté par IA, de bout en bout. L’agent exploite la faille CVE-2025-3248 dans Langflow - un framework Python open-source pour construire des workflows d’IA. Le correctif existe depuis avril 2025. Des milliers d’instances n’ont jamais été mises à jour.
L’agent entre. Scanne le réseau. Trouve un serveur MySQL. Les credentials par défaut (minioadmin:minioadmin ) ouvrent MinIO. L’agent liste les bases, identifie Nacos - la plateforme de configuration d’Alibaba. Il chiffre 1 342 enregistrements avec une clé AES générée à la volée. La clé n’est jamais stockée, jamais transmise. Payer la rançon ne sert à rien: les données sont perdues. C’est une attaque suicide, mais autonome.
Trente et une secondes. C’est le temps qu’il faut à l’agent pour détecter un échec de connexion, modifier son payload, et réessayer. Sans intervention humaine. Michael Clark, Director of Threat Research at Sysdig - écrit: « The Sysdig Threat Research Team has captured what we assess to be the first documented case of agentic ransomware: a complete extortion operation driven end-to-end by a large language model. » Plus de 600 payloads coordonnés - adaptés en temps réel selon les réponses du serveur. L’agent lit les erreurs. Il corrige. Il progresse.
Trois enjeux qui redéfinissent la cybermenace
Cette double offensive révèle trois ruptures majeures. D’abord, l’autonomie totale: JadePuffer exécute l’intégralité de la chaîne d’attaque sans intervention humaine, accès initial, reconnaissance, vol de credentials, mouvement latéral, établissement de persistance, escalade de privilèges, chiffrement. Aucune attaque comparable n’a été publiquement documentée avant JadePuffer selon les sources consultées.
Ensuite, l’asymétrie des guardrails: l’attaquant utilise un modèle sans restriction, le défenseur est bridé par les filtres éthiques de ses propres outils d’IA commerciaux. Check Point Research documente cette asymétrie opérationnelle dans son rapport annuel 2026 sur la sécurité de l’IA. Les systèmes offensifs fonctionnent sans contrainte, les systèmes défensifs sont ralentis par leurs propres règles.
Enfin, l’effondrement de la barrière d’entrée: avant, pirater un réseau exigeait des compétences techniques rares. Maintenant, il suffit de déployer un agent avec un prompt et un LLM. Sysdig qualifie JadePuffer de « première opération de rançongiciel menée de bout en bout par un grand modèle linguistique » et souligne « sa capacité à automatiser des campagnes complexes sans intervention humaine directe, abaissant considérablement la barre d’entrée pour les attaquants. » Pas besoin de coder un exploit. L’agent le génère. Pas besoin de comprendre MySQL. L’agent lit la doc.
Hugging Face attaqué par un essaim
Quinze jours plus tard, le 16 juillet - Hugging Face publie son propre post-mortem. Une intrusion détectée début juillet - divulguée les 16 et 17 juillet. L’attaquant? « Un agent IA entièrement autonome », écrit l’équipe sécurité. Pas un humain qui utilise des outils d’IA. Un système qui mène seul la campagne, de l’accès initial à l’exfiltration, sans intervention humaine détectée.
Le point d’entrée: un dataset malveillant uploadé sur la plateforme. Deux vulnérabilités dans le pipeline de traitement des données: un chargeur de dataset à code distant, une injection de template dans la config. L’agent exploite les deux. Il déploie un essaim de sandbox éphémères. Des dizaines de milliers d’actions individuelles - coordonnées, distribuées. Chaque sandbox teste un vecteur, remonte les résultats, disparaît.
Hugging Face tente d’analyser l’attaque avec des API commerciales de LLM. Refus systématique: les guardrails de sécurité bloquent le traitement des payloads d’exploit. L’équipe bascule sur GLM 5.2 - un modèle open-source qu’elle héberge en interne. Hugging Face indique avoir traité 17 000 événements.
L’asymétrie des guardrails, en détail
L’attaquant jailbreak son modèle ou utilise un modèle open-weight sans filtre. Le défenseur, lui, paie des API qui refusent d’analyser des commandes bash suspectes. Hugging Face le formule ainsi: « We do not know which model powered the attacker’s agents, whether a jailbroken hosted model or an unrestricted open-weight one; either way, the attacker was bound by no usage policy. » Les systèmes offensifs fonctionnent sans contrainte, les systèmes défensifs sont ralentis par leurs propres règles éthiques. Cette asymétrie devient un avantage stratégique pour l’attaquant.
Résultat: Hugging Face ferme les chemins d’exécution exploités, reconstruit les systèmes touchés, révoque les credentials compromis, renforce la sécurité des clusters. Mais la vraie question reste: combien d’entreprises ont déjà été attaquées sans le savoir? JadePuffer a été capturé dans un honeypot de Sysdig. Hugging Face a détecté l’intrusion parce qu’elle surveille sa supply chain IA. Les autres?
La barrière d’entrée s’effondre
Les précédents existent, mais ils restaient partiels: des deepfakes pour usurper un directeur financier dans une escroquerie à 25 millions de dollars - l’impersonation du maire de Kyiv par vidéo manipulée. Ces attaques utilisaient l’IA comme outil. JadePuffer et l’intrusion Hugging Face franchissent un seuil: l’IA devient l’opérateur. L’agent ne se contente pas d’exécuter des commandes: il décide, adapte, corrige, progresse.
Ce changement redéfinit le profil de l’attaquant. Plus besoin de maîtriser l’exploitation de vulnérabilités, la reconnaissance réseau, ou l’escalade de privilèges. Un acteur avec des compétences minimales peut désormais orchestrer une campagne complexe en déléguant l’exécution technique à un agent autonome. Le savoir-faire technique n’est plus un prérequis, il devient un service automatisé.
Le cadre légal n’existe pas encore
Aucune des sources consultées ne mentionne de cadre juridique applicable aux attaques menées par agents IA autonomes. Qui est responsable? Le concepteur du modèle? L’hébergeur? L’utilisateur qui a lancé l’agent? Le droit pénal français et européen repose sur l’intention humaine. Un agent autonome qui décide seul d’escalader ses privilèges ou de chiffrer une base de données sans instruction explicite pose une question que ni le Code pénal ni la directive NIS2 n’ont anticipée.
Ce qu’il faut retenir
JadePuffer et Hugging Face ne sont pas des anomalies. Ils sont les premiers cas documentés. D’autres attaques agentiques ont déjà eu lieu, mais elles n’ont pas été détectées ou publiées. Les chercheurs de Sysdig ont capturé JadePuffer dans un honeypot, un piège. Combien d’entreprises sans honeypot ont été frappées? Hugging Face surveille sa supply chain IA depuis des mois. Les autres?
La réponse tiendra en trois chiffres: 31 secondes pour corriger un échec - 1 342 enregistrements chiffrés - 17 000 actions analysées après coup. L’attaque autonome n’est plus une hypothèse de laboratoire. Elle est opérationnelle, rapide, et invisible jusqu’à ce qu’il soit trop tard.
► Lire aussi: Comment un deepfake a permis de voler 25 millions de dollars à une entreprise
