Aller au contenu
Kreomnis.Vigie
vulnerabilite

Un agent LLM au volant : la première intrusion autonome confirmée dans la nature

11/06/2026 · Kreomnis
Source d'origine : Sysdig Threat Research(29/05/2026)

Le fait

Le 10 mai 2026, l'équipe Threat Research de Sysdig a capté la première intrusion confirmée dans la nature où un agent LLM a piloté seul la post-exploitation. Après une RCE sur un notebook marimo exposé (CVE-2026-39987), l'agent a enchaîné quatre pivots sans opérateur humain : extraction de deux identifiants cloud, récupération d'une clé SSH dans AWS Secrets Manager, puis huit sessions SSH contre un bastion qui ont exfiltré une base PostgreSQL interne complète en 113 secondes. Durée totale : un peu plus de 68 minutes. Sysdig a relevé quatre indicateurs trahissant un pilotage par modèle, dont un dump de base improvisé sans connaissance préalable du schéma.

Pourquoi ça compte

On parlait d'IA offensive depuis deux ans ; voici le premier cas documenté, in-the-wild, de bout en bout. Le saut n'est pas dans la sophistication des techniques (les pivots sont classiques) mais dans l'autonomie et la vitesse : l'agent reconnaît, décide et exécute plus vite qu'un analyste ne lit son tableau de bord.

PostgreSQL vidé en moins de deux minutes par un attaquant qui n'en connaissait pas le schéma : c'est le scénario que toute modélisation de menace doit désormais intégrer.

Ce que Kreomnis en pense

  1. Vos playbooks sont calés sur l'humain. 68 minutes de la RCE au dump complet, ça ne laisse pas le temps d'une escalade manuelle. La détection doit être comportementale et temps réel (egress anormal, accès secret manager, rafales SSH), pas un ticket traité dans l'heure.
  2. Réduisez la valeur d'un pivot. Un hôte compromis ne devrait pas livrer des creds cloud en clair, ni un secret manager déverrouiller une clé menant à un bastion menant à la base. Cloisonnez, rotez, segmentez.
  3. L'asymétrie s'aggrave. L'attaquant industrialise sa post-exploitation à coût quasi nul. La défense doit répondre par l'automatisation, pas par plus d'analystes.

Détail de la chaîne et chasse à la compromission : notre fiche CVE-2026-39987. Sur la classe d'attaque plus large, voir notre analyse quand le prompt devient un shell.

Source : Sysdig : AI agent at the wheel.

#agent-llm#sysdig#marimo#post-exploitation#ia-offensive