Un récent rapport de recherche ravive les alarmes sur la façon dont les outils de sécurité ouverts et puissants peuvent être réutilisés par des acteurs malveillants. Les experts de l'équipe Cymru ont lié la plate-forme de test de sécurité à l'intelligence artificielle appelée CyberStrikeAI avec l'infrastructure utilisée dans une campagne qui a compromis des centaines de pare-feu Fortinet FortiGate au début de 2026, et les implications sont profondes: un outil conçu pour automatiser les audits peut faciliter les attaques automatisées à grande échelle.
L'équipe dirigée par Will Thomas (connu sous le nom de BushitoToken) a publié une analyse montrant qu'une adresse IP associée à la campagne contre FortiGate dirigeait un service identifié comme CyberStrikeAI dans le port 8080, et qu'il y avait du trafic entre ces appareils IP et Fortinet qui étaient la cible de l'intrusion. Vous pouvez lire le rapport de l'équipe Cymru ici: Suivi de CyberStrike Utilisation de l'IA. C'est la même activité qu'il a décrite il y a des mois. Calculateur en détail l'incident massif contre FortiGate.
CyberStrike L'IA est open source et son dépôt public décrit une plateforme "native IA" développée à Go qui intègre plus d'une centaine d'outils de sécurité traditionnels. Dans sa page GitHub, le projet explique comment il combine des scanners réseau, des analyseurs web, des cadres d'exploitation, des outils de crack de mot de passe et des utilitaires post-opérationnels avec un moteur de décision basé sur des modèles de langage et des agents automatiques. Le dépôt du développeur apparaît sous l'alias Ed1s0nZ dans GitHub où vous pouvez également voir d'autres projets de votre paternité visant à la recherche de privilèges et d'escalade automatisée.
La puissance du projet réside dans l'orchestration : combiner des outils matures tels que nmap, mascan, sqlmap ou métasploit avec des agents de l'IA et un coordinateur qui convertit les commandes conversationnelles en chaînes d'attaque complètes réduit considérablement la barrière technique pour effectuer des opérations complexes. L'équipe Cymru a trouvé 21 adresses IP différentes dans des instances CyberStrikeAI entre le 20 janvier et le 26 février 2026, principalement en Chine, Singapour et Hong Kong, avec une présence supplémentaire aux États-Unis. Japon et Europe.
Au-delà de l'ingénierie, les chercheurs ont également analysé les antécédents du développeur. Le profil public de l'auteur montre des activités liées à d'autres projets de sécurité de l'IA - PrivHunterAI et InfiltrateX parmi eux - et, selon l'équipe Cymru, il y a eu des interactions avec des organisations qui ont été identifiées ci-dessus comme étant liées à des opérations liées à l'État chinois. En décembre 2025, le créateur a présenté CyberStrikeAI au "Starlink Project" de Connusec 404; Connusec est une entreprise chinoise avec des liens gouvernementaux présumés qui ont été signalés, comme l'analyse publiée par DomainTools: La fuite connue. De plus, la mention publique par le développeur d'une récompense CNNVD a été retirée du profil plus tard; CNNVD est la base de données chinoise des vulnérabilités que certains analystes ont associées à des utilisations gouvernementales selon des rapports tels que Cybercoop.
La convergence des IA et des outils opérationnels est une disjonctive éthique et pratique. D'une part, ces plates-formes peuvent accélérer les essais légitimes et améliorer la préparation défensive en automatisant la détection, l'analyse des chaînes d'attaque et la gestion de la vulnérabilité. D'autre part, lorsqu'ils tombent entre de mauvaises mains ou sont utilisés à partir d'infrastructures contrôlées par des acteurs hostiles, soutenir l'automatisation des attaques ciblées contre les appareils exposés au bord du réseau tels que les pare-feu, les applications VPN et les équipements d'accès à distance, exactement les cibles observées dans la campagne contre FortiGate.
Les conséquences opérationnelles sont claires : l'utilisation des orchestres IA permet aux opérateurs ayant des compétences limitées de mener des campagnes sophistiquées de reconnaissance, d'exploitation et de post-exploitation sans avoir à maîtriser chaque outil séparément. L'équipe Cymru avertit que cette dynamique peut augmenter la vitesse et la portée des campagnes alors que plus d'acteurs adoptent des moteurs d'orchestration similaires. L'analyse de l'équipe décrit la tendance et suggère que les défenseurs se préparent à un environnement dans lequel des outils tels que CyberStrike AI réduit considérablement les efforts nécessaires pour exploiter des réseaux complexes.
Ce phénomène n'est pas isolé : les fournisseurs de sécurité et les chercheurs ont mis en garde contre l'abus de modèles générateurs et de plates-formes commerciales de l'IA dans les activités malveillantes. Dans des rapports récents, l'industrie a documenté comment les gens et les groupes utilisent des modèles avancés pour automatiser les phases de l'attaque - de l'ingénierie sociale à la génération de scripts d'exploitation - amplifiant ainsi la capacité des acteurs à faibles ressources. Par conséquent, en plus de l'analyse technique, il est essentiel d'intégrer des mesures d'intervention et d'atténuation organisées.
Dans la pratique, la défense devrait combiner la surveillance du réseau et les contrôles d'exposition au périmètre, une gestion rigoureuse des pouvoirs et une gouvernance claire en matière de télémétrie et d'accès administratif. Les équipes de sécurité doivent avoir une visibilité anormale du trafic, des dossiers d'audit complets et des processus pour détecter les services non autorisés. tels que les panneaux Web protégés par mot de passe ou les serveurs d'orchestration qui ne font pas partie de l'inventaire officiel. De même, les dispositifs de bord de mise à jour et de patching restent essentiels pour fermer les vecteurs que ces plates-formes automatisées exploitent.
La leçon que ce cas laisse est double : les capacités que l'IV apporte à la cybersécurité sont énormes et peuvent être très bénéfiques lorsqu'elles sont utilisées avec responsabilité, mais le même pouvoir augmente les dommages lorsqu'elles sont appliquées à des fins offensives. Pour approfondir les recherches de l'équipe Cymru et contredire les résultats, vous pouvez consulter son rapport à l'adresse suivante : Suivi de CyberStrike Utilisation de l'IA ainsi que la couverture médiatique de la campagne FortiGate Calculateur et le dépôt du projet dans C'est pas vrai..
La discussion publique et technique doit aller de l'avant dans deux directions : promouvoir des cadres qui facilitent l'utilisation responsable de ces plates-formes dans les preuves juridiques et consensuelles, et en même temps mettre au point des contre-mesures qui rendent leur abus difficile. Si l'industrie, les entreprises et les décideurs sont en mesure de coordonner, il sera possible de tirer parti des vertus de l'automatisation sans donner aux attaquants une usine d'attaque à grande échelle.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...