Le 11 mai 2026, Google n'a pas annoncé une arrestation. Le Google Threat Intelligence Group (GTIG) a publié quelque chose de bien plus préoccupant: la première preuve documentée qu'un groupe criminel a utilisé l'intelligence artificielle pour développer un exploit zero-day. Une première absolue. Le GTIG a identifié le code Python de l'exploit et en a immédiatement reconnu l'origine: des docstrings excessivement pédagogiques, un score CVSS inventé qui n'existe dans aucune base de données, une structure trop propre qu'aucun développeur humain n'écrirait jamais ainsi. L'IA avait signé son propre travail. L'attaque visait un outil populaire d'administration web open-source, non identifié par Google, et aurait permis à quiconque disposant d'identifiants valides de contourner le 2FA. Elle n'a pas abouti: Google a travaillé avec l'éditeur pour corriger la vulnérabilité avant le lancement de la campagne.
John Hultquist, analyste en chef du GTIG, a été direct: «L'idée reçue veut que la course aux vulnérabilités par IA soit imminente. La réalité, c'est qu'elle a déjà commencé.» Il a ajouté ce qui a fait le plus de bruit: «Pour chaque zero-day que nous parvenons à attribuer à l'IA, il en existe probablement beaucoup d'autres dehors.»
Comment Google a identifié le code généré par IA
Il ne s'agissait pas du type de vulnérabilité qui passe inaperçu par définition. Ce n'était ni un bug de corruption mémoire, ni une faille d'injection. C'était plus subtil: une erreur de logique sémantique, une hypothèse de confiance codée en dur par le développeur original, en contradiction avec la logique d'authentification de l'application. Les scanners traditionnels n'auraient rien vu. Ils cherchent des crashs, des sink points, des corruptions mémoire. Ils ne lisent pas le code comme le ferait un développeur, ne cherchent pas les contradictions entre l'intention de conception et l'implémentation. Les LLM, eux, le peuvent.
C'est le style qui a trahi l'attaquant. Le code Python contenait des commentaires surdimensionnés, comme si le modèle expliquait chaque ligne à un étudiant. Il contenait un score CVSS inventé, avec un numéro de version inexistant dans les bases CVE réelles. Sa structure propre et symétrique était typique des sorties LLM, celle qu'un développeur humain briserait avec des variables mal nommées et des commentaires en plusieurs langues. Le GTIG a haute confiance qu'un modèle IA a assisté aussi bien à la découverte qu'à l'armement de la vulnérabilité. L'IA utilisée n'était pas Gemini. Ce n'était pas Claude Mythos, le modèle d'Anthropic bloqué en avril 2026 précisément parce qu'il trouvait des vulnérabilités critiques à une vitesse inacceptable. L'utilisation d'OpenClaw ou d'un modèle équivalent est supposée.
Pas un incident isolé: le tableau global du rapport GTIG
Concrètement, le cas du zero-day n'est qu'un point sur une carte plus grande. Le rapport GTIG du 11 mai documente un écosystème d'activités assistées par IA couvrant en parallèle des acteurs étatiques et criminels.
APT45, le groupe militaire nord-coréen, envoie selon le GTIG «des milliers de prompts répétitifs» aux modèles IA pour analyser les CVE de façon récursive et valider des preuves de concept, construisant un arsenal d'exploits à échelle industrielle qui serait opérationnellement impraticable sans IA. UNC2814, acteur lié à la Chine, utilise des techniques de jailbreak par «persona experte» pour pousser Gemini à rechercher des vulnérabilités d'exécution à distance dans le firmware TP-Link et les protocoles OFTP. APT27, également d'origine chinoise, a utilisé Gemini pour développer une application de gestion réseau permettant de router le trafic via des adresses IP résidentielles, un système de couverture difficile à démasquer.
Du côté criminel, des groupes russes ont distribué les familles de malwares CANFAIL et LONGSTREAM, toutes deux bourrées de code généré par IA utilisé comme rembourrage pour perturber l'analyse des chercheurs. Vient ensuite PromptSpy: un backdoor Android identifié par ESET qui appelle directement les API Gemini pour naviguer de façon autonome sur l'appareil infecté, interpréter l'écran en temps réel et déterminer les actions suivantes. Autonome. Non téléguidé par l'attaquant, mais dirigé par le modèle en réponse à l'état du système.
Chronologie des attaques assistées par IA en 2026
Comment les hackers utilisent l'IA pour développer des exploits?
Le processus documenté par le GTIG comporte trois phases. Dans la première, l'attaquant fournit au modèle le code source du système cible ou la documentation publique, et lui demande d'identifier les surfaces d'attaque logiques possibles, pas seulement les classiques comme le buffer overflow ou l'injection.
Les LLM sont capables de lire le code comme le ferait un développeur: ils comprennent l'intention, comparent intention et implémentation, et identifient les points de divergence. Dans la deuxième phase, le modèle génère un proof-of-concept en Python, structuré, commenté et fonctionnel. La seule différence avec un développeur humain: les commentaires sont trop didactiques et le score CVSS est inventé.
Dans la troisième phase, l'attaquant teste le PoC dans des environnements contrôlés, utilise éventuellement des outils agentiques comme OpenClaw pour automatiser la validation, et prépare le payload final. Le tout en quelques heures, pas en semaines. APT45 nord-coréen utilise exactement cette pipeline: des milliers de prompts répétitifs qui analysent des CVE en parallèle et valident automatiquement les PoC. Le coût opérationnel baisse, l'échelle augmente. Pour comprendre comment cette dynamique s'entremêle avec les agents IA qui opèrent déjà de façon autonome dans la crypto, le point de connexion central est LiteLLM.
LiteLLM, wallets crypto et le risque sous-estimé
LiteLLM est la bibliothèque qui connecte les applications logicielles aux fournisseurs de modèles IA. Si vous utilisez un agent IA qui gère un exchange, un wallet, un moniteur de portefeuille ou tout système interagissant avec des API crypto, il y a une probabilité concrète que LiteLLM se trouve au milieu.
TeamPCP l'a compromis en mars 2026 via des paquets PyPI empoisonnés. Le credential stealer SANDCLOCK a extrait des clés AWS et des tokens GitHub directement depuis les environnements de build. Quiconque avait intégré la version compromise de LiteLLM dans ses systèmes a potentiellement exposé les clés API des exchanges, les webhooks, et chaque secret configuré dans l'environnement CI/CD. Le GTIG décrit cela comme le pattern émergent: les modèles frontier sont difficiles à compromettre directement. Les connecteurs, les wrappers et les couches API qui gravitent autour ne le sont pas. Pour ceux qui gèrent des agents IA effectuant des paiements autonomes en crypto, la chaîne d'approvisionnement des dépendances IA est devenue une surface d'attaque au même titre que le wallet lui-même.
Le 7 mai, le FMI a publié une déclaration explicite: la cybersécurité à l'ère de l'IA est une question de stabilité financière systémique, et non plus un simple problème technique à déléguer aux équipes IT. Le NIST a déjà standardisé les premiers algorithmes post-quantiques. Google utilise Big Sleep et CodeMender pour trouver et corriger automatiquement les vulnérabilités avant que les attaquants ne le fassent. La prochaine mise à jour du GTIG AI Threat Tracker, basée sur le T3 2026, mesurera à quel point la trajectoire des capacités a progressé depuis mai. Hultquist a déclaré qu'il attend ces données comme un tournant dans la conversation sur la sécurité de l'IA. La partie a commencé bien avant que quiconque ne l'anticipe.
