La première cyberattaque documentée utilisant un LLM a exfiltré une base de données en moins d'une heure

Le 10 mai 2026, une cyberattaque que les chercheurs redoutaient depuis longtemps mais n'avaient jamais confirmée dans la nature s'est produite : un agent LLM a mené une chaîne de post-exploitation complète de bout en bout, sans qu'un opérateur humain ne guide chaque étape. L'équipe de Threat Research de Sysdig a documenté l'incident et publié ses conclusions cette semaine.

L'attaque a débuté par une vulnérabilité connue. CVE-2026-39987 est une faille d'exécution de code à distance sans authentification dans Marimo, un environnement de notebooks Python open source largement utilisé en science des données et dans les workflows de Machine Learning. Une simple requête WebSocket a suffi pour obtenir un shell sur tout serveur non patché. À partir de là, l'agent LLM a pris le relais.

Quatre pivots, une heure

Ce qui a suivi n'était pas une séquence scriptée. L'agent a improvisé à chaque étape, adaptant ses commandes en fonction de ce que chaque système compromis révélait. Il a récolté des credentials cloud depuis des fichiers d'environnement, récupéré une clé privée SSH depuis AWS Secrets Manager, ouvert huit sessions SSH parallèles vers un serveur bastion en aval, et exfiltré complètement une base de données PostgreSQL interne. La phase de mouvement latéral a duré moins de deux minutes. La chaîne complète, depuis l'accès initial jusqu'à l'exfiltration des données, a été bouclée en un peu plus d'une heure.

L'analyse forensique de Sysdig a identifié plusieurs marqueurs confirmant un comportement IA autonome plutôt qu'une attaque scriptée : improvisation en temps réel du schéma de base de données, un commentaire de planification écrit en chinois retrouvé dans la sortie de commande, un formatage de sortie optimisé pour la machine, et un enchaînement de commandes où la sortie alimentait l'entrée suivante à travers plusieurs pivots. Aucun humain n'a pris de décision entre les étapes.

Pourquoi cela change le modèle de menace

Les systèmes de détection d'intrusion traditionnels et les playbooks de réponse aux incidents supposent des attaques au rythme humain. Un mouvement latéral qui prend des jours ou des heures laisse aux défenseurs le temps de détecter, contenir et répondre. Un agent piloté par LLM qui réalise la même chaîne en moins de deux minutes, lui, ne leur laisse aucun répit.

L'attaque a également démontré un saut qualitatif : l'agent n'exécutait pas un script fixe mais prenait des décisions contextuelles. Lorsqu'il rencontrait un nouveau système, il s'adaptait. Ce type d'exploitation dynamique et guidée par le raisonnement est sans précédent dans les schémas d'attaque documentés.

La vulnérabilité et les systèmes concernés

CVE-2026-39987 affecte les serveurs de notebooks Marimo exposés sur Internet — une configuration courante dans les environnements de développement, de recherche et de science des données où les notebooks sont partagés entre équipes. Les organisations qui utilisent des instances Marimo non patchées doivent traiter cela comme une priorité critique. Sysdig recommande d'appliquer le patch immédiatement, de supprimer l'exposition Internet des serveurs de notebooks, de renouveler tous les credentials cloud stockés dans les fichiers d'environnement, et d'auditer les journaux d'accès d'AWS Secrets Manager pour toute récupération non autorisée de clés.

Un avertissement pour la défense à l'ère de l'IA

Cet incident ne sera pas le dernier. Les agents LLM sont déjà capables de mener des intrusions réelles à la vitesse de la machine, de s'adapter à des environnements inconnus et de prendre des décisions multi-étapes sans guidance humaine. Les cadres de réponse de l'industrie de la sécurité, construits autour des chronologies d'attaquants humains, ne suffisent plus seuls. La détection automatisée, la réponse à vitesse machine et l'isolation des credentials sont désormais des prérequis — et non plus des durcissements optionnels.