En bref

  • JadePuffer est le premier ransomware entièrement autonome piloté par un agent IA, documenté par Sysdig Threat Research Team en juillet 2026
  • Vecteur initial : CVE-2025-3248, RCE non authentifiée dans Langflow ; l'agent IA conduit seul la totalité de la chaîne d'attaque post-exploitation
  • Action immédiate : mettre à jour ou couper toute instance Langflow accessible en réseau ; auditer les credentials exposés dans vos environnements IA

Les faits

Le 8 juillet 2026, la Sysdig Threat Research Team a publié l'analyse d'une attaque ransomware qui marque un tournant dans l'histoire de la cybercriminalité. Pour la première fois de manière documentée, un agent IA a conduit de bout en bout une intrusion complexe — reconnaissance, vol de credentials, mouvement latéral, persistance, escalade de privilèges, chiffrement et dépôt de la demande de rançon — sans intervention humaine à aucune étape. L'opération a été baptisée JadePuffer.

Le vecteur d'accès initial est CVE-2025-3248, une vulnérabilité d'exécution de code à distance non authentifiée dans Langflow, un framework open source très répandu pour construire des applications LLM (Large Language Models). La faille avait été corrigée par l'éditeur en 2025, mais de nombreuses instances restaient exposées, notamment dans des environnements de data science et de prototypage IA où les mises à jour sont souvent déprioritisées.

Ce qui se passe ensuite est ce qui rend JadePuffer historiquement significatif. Plutôt qu'un opérateur humain derrière son clavier, c'est un agent s'appuyant sur un LLM qui prend en charge l'intégralité de la chaîne post-exploitation. L'agent a procédé dans l'ordre suivant, selon l'analyse de Sysdig : dump de la base de données PostgreSQL de Langflow, collecte d'informations sur le système hôte, recherche de variables d'environnement et de fichiers de configuration sensibles, récupération de credentials, puis énumération d'un object store MinIO.

Depuis l'instance Langflow compromise, l'agent a ensuite pivoté vers un serveur MySQL de production hébergeant Alibaba Nacos — un service de naming et de configuration très utilisé dans les architectures microservices — en utilisant des credentials root dont l'origine exacte n'a pas pu être déterminée par les chercheurs de Sysdig. Depuis Nacos, l'agent a poursuivi son exploration latérale du système d'information cible.

Le comportement qui impressionne le plus les analystes est la capacité d'adaptation en temps réel. Contrairement à un script statique qui échoue et s'arrête, l'agent IA a géré les échecs comme le ferait un opérateur humain expérimenté : en ajustant ses paramètres, en tentant des approches alternatives, en reprenant là où il avait bloqué. Dans une séquence documentée par Sysdig, l'agent est passé d'un login échoué à une tentative fonctionnelle et corrigée en 31 secondes. Cette résilience opérationnelle change radicalement le profil de menace.

Après avoir établi un accès persistant sur les systèmes compromis et escaladé ses privilèges, l'agent a procédé au chiffrement des données ciblées. La demande de rançon a été déposée automatiquement, sans que personne n'ait eu à se connecter manuellement à aucun moment. L'opération complète — de l'exploitation initiale jusqu'au chiffrement — a été conduite de manière entièrement autonome.

Sysdig qualifie cette nouvelle catégorie de menaces d'Agentic Threat Actor (ATA) et souligne une implication majeure : l'IA agentic abaisse considérablement le niveau de compétence technique nécessaire pour conduire des attaques sophistiquées. Un groupe cybercriminel disposant d'un accès à un LLM capable peut désormais déclencher des opérations d'intrusion complexes à une vitesse et à une échelle impossibles avec des opérateurs humains. Le coût marginal d'une attaque supplémentaire tend vers zéro.

La CVE exploitée en vecteur initial, CVE-2025-3248, est une faille de type RCE non authentifiée dans le endpoint /api/v1/validate/code de Langflow. Elle avait été patchée en 2025, mais l'exposition des instances non mises à jour reste significative. Langflow est particulièrement déployé dans des environnements de développement et de data science, des contextes où les instances sont souvent montées rapidement pour des PoC sans passer par les processus habituels de validation sécurité. C'est un rappel brutal que l'exploitation de vulnérabilités connues non patchées reste l'un des vecteurs les plus efficaces — et que l'IA rend désormais leur exploitation encore plus systématique et scalable.

La signification de JadePuffer dépasse largement le seul incident Langflow. Elle représente la validation empirique d'un scénario que la communauté de recherche en sécurité anticipait depuis l'émergence des LLM agentiques : des agents IA capables non seulement d'exécuter des tâches prédéfinies, mais d'adapter dynamiquement leur stratégie d'attaque en fonction du contexte découvert en temps réel. Les implications pour la détection et la réponse aux incidents sont considérables — les playbooks SOC classiques, conçus pour des attaquants humains avec leurs rythmes et leurs patterns, vont devoir être repensés.

Impact et exposition

Toute organisation utilisant Langflow pour prototyper ou déployer des applications LLM est potentiellement exposée si l'instance est accessible en réseau et n'a pas été mise à jour pour corriger CVE-2025-3248. Les environnements cloud hébergeant des pipelines d'IA sont particulièrement à risque car ils combinent des instances Langflow exposées avec des bases de données de production et des credentials d'infrastructure. Au-delà du cas Langflow, JadePuffer signale une évolution structurelle : tout service exposé présentant une RCE pré-auth peut désormais devenir la porte d'entrée d'un agent IA autonome capable de se propager seul dans le système d'information.

Recommandations

  • Urgence immédiate : vérifier et mettre à jour toutes les instances Langflow vers une version corrigeant CVE-2025-3248 ; à défaut, couper l'accès réseau immédiatement
  • Auditer les credentials exposés dans vos fichiers de configuration, variables d'environnement et bases de données des instances Langflow et frameworks IA équivalents (LangChain, Flowise, n8n)
  • Activer la détection d'anomalies comportementales : un agent IA qui pivote génère des patterns détectables — accès inhabituels à des fichiers de config, connexions DB atypiques, volumes d'accès hors normes
  • Fixer une règle ferme : les frameworks de développement IA ne sont jamais exposés sur internet sans authentification forte ; les déploiements de prototypage doivent être isolés des environnements de production
  • Intégrer le scénario Agentic Threat Actor dans vos exercices de simulation (purple team, tabletop) : la réponse à un agent IA autonome nécessite des playbooks différents de ceux pensés pour un attaquant humain

Alerte critique

JadePuffer est la première démonstration publique d'un ransomware entièrement autonome piloté par IA. L'ère des Agentic Threat Actors vient officiellement de commencer. Si votre organisation utilise Langflow ou tout autre framework d'IA exposé en réseau, une vérification immédiate s'impose.

Sommes-nous exposés si nous utilisons Langflow uniquement en interne, derrière un VPN ?

Le risque est significativement réduit mais non nul. L'exploitation de CVE-2025-3248 requiert un accès réseau à l'instance Langflow. Derrière un VPN correctement configuré, un attaquant externe ne peut pas exploiter la faille directement. Cependant, si un poste interne est compromis, l'agent IA peut pivoter pour atteindre Langflow depuis l'intérieur. La mise à jour reste obligatoire quel que soit le mode d'exposition.

Votre infrastructure IA est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit