Le premier zero-day généré par IA, c'est fait : Google confirme l'exploit

L'IA passe à l'offensive : un tournant majeur en cybersécurité

C'est un fait. Ce que beaucoup redoutaient est désormais une réalité. Google a confirmé la détection du tout premier exploit zero-day dont la genèse a été directement assistée par un grand modèle de langage (LLM). Une ligne rouge franchie, un game changer. L'IA n'est plus seulement un outil de défense, elle devient une arme cybernétique redoutable.

Les équipes de Google Threat Intelligence Group (GTIG) et de Mandiant n'en reviennent pas. En mai 2026, elles mettent la main sur un script Python. Sa cible ? Un outil d'administration web open source. La particularité ? Ce n'est pas sa sophistication qui interpelle, mais son ADN. Son code porte la signature d'une génération par IA.

Docstrings éducatifs et CVSS hallucinés : la signature de l'IA

Comment Google a-t-il identifié la patte de l'IA ? Plusieurs indicateurs ont convergé. D'abord, des 'docstrings éducatifs' – ces commentaires explicatifs de type pédagogique, typiques des sorties de LLM. Comme si l'IA, dans sa soif d'explication, avait laissé des indices. Ensuite, un 'score CVSS halluciné', preuve que le modèle a généré des informations erronées, mais avec une structure cohérente. En clair, l'IA a créé un exploit, et elle l'a 'documenté' à sa manière.

« Ce n'est plus une hypothèse théorique, un scénario de conférence ou une démonstration de laboratoire. C'est du code malveillant réel, utilisé dans une campagne réelle. La frontière vient d'être franchie. »

- Ayi Nedjimi Consultants

Le problème est là : ce n'est pas un coup d'essai isolé. Google rapporte un intérêt croissant des acteurs malveillants, notamment ceux parrainés par la Chine et la Corée du Nord, pour le développement d'exploits et la découverte de vulnérabilités via l'IA. L'utilisation de l'IA pour l'orchestration d'attaques et le développement de malwares évasifs est en pleine expansion.

Quelles implications pour la défense ?

Cette confirmation change tout. Fini les discussions sur le potentiel futur des agents IA pour la sécurité. Ils sont là, et ils attaquent. La capacité de ces modèles à générer du code, même imparfait, pour cibler des failles inconnues représente une menace sans précédent. Il ne s'agit plus seulement de patcher des vulnérabilités connues, mais d'anticiper celles que l'IA pourrait créer de toutes pièces.

Les experts en cybersécurité doivent désormais intégrer cette nouvelle donne. La course à l'armement entre l'IA offensive et défensive s'accélère. Et si l'on pensait que l'IA était nue face aux chercheurs, elle vient de prouver sa capacité à se vêtir d'armures imprévues. L'ère des zero-days assistés par IA est ouverte. Et il est urgent de repenser nos stratégies de détection et de réponse. Les frameworks de red team intégreront bientôt des modules LLM-assistés pour la génération de charges utiles et de scripts de post-exploitation personnalisés.

Cette actualité souligne également la tension autour des LLM open source. L'outil ciblé était open source, et si cette ouverture favorise l'innovation, elle peut aussi, entre de mauvaises mains, devenir un vecteur d'attaque. Un dilemme complexe pour l'écosystème tech.