Исследователи зафиксировали первую полностью автономную атаку программы-вымогателя, осуществлённую ИИ-агентом
Исследователи зафиксировали первую полностью автономную атаку программы-вымогателя, осуществлённую ИИ-агентом. Фото: СС0
ИИ-агент самостоятельно выполнил все этапы атаки — от разведки и кражи учётных данных до перемещения по сети, закрепления в системе, повышения привилегий и шифрования данных, демонстрируя способность адаптироваться к сбоям в реальном времени подобно человеку-оператору, например, в одном из эпизодов ошибка входа в систему была автоматически устранена всего за 31 секунду.
Первоначальный доступ злоумышленник получил через уязвимость CVE-2025-3248 в популярном фреймворке Langflow, позволяющую удалённое выполнение кода без аутентификации, и хотя поставщик устранил эту брешь ещё 1 апреля 2025 года, атака состоялась до того, как многие организации успели применить патчи, и агент, получив доступ, выгрузил базу данных PostgreSQL, собрал информацию о хосте, извлёк переменные окружения и конфиденциальные файлы, получил учётные данные и перечислил хранилище MinIO, причём когда один API-запрос возвращал XML вместо JSON, агент автоматически корректировал логику анализа в следующей попытке.
Для закрепления на скомпрометированном сервере JadePuffer установил задачу cron, отправлявшую сигналы на инфраструктуру злоумышленника каждые 30 минут, а затем, используя экземпляр Langflow в качестве плацдарма, переключился на производственный сервер MySQL под управлением Alibaba Nacos, применяя учётные данные root, происхождение которых Sysdig не удалось установить.
После этого агент нашёл способ выхода из контейнера и зашифровал 1342 элемента конфигурации сервиса Nacos с помощью функции AES_ENCRYPT() в MySQL
Оригинальные таблицы config_info и history были удалены и заменены таблицей README_RANSOM с требованием выкупа, биткойн-адресом и контактом Proton Mail, причём в записке утверждалось использование AES-256, однако исследователи считают это преувеличением и полагают, что на самом деле применялся более слабый алгоритм AES-128-ECB.
Ключевым признаком того, что атакой управлял именно ИИ, стали подробные комментарии на естественном языке в сгенерированном коде, описывающие операционные рассуждения, а также быстрая итеративная адаптация к конкретным ошибкам, а не просто повторные попытки, при этом Sysdig отмечает, что биткойн-адрес в записке с требованием выкупа оказался примером адреса, широко используемого в публичной документации.
Это может указывать на то, что модель воспроизвела его из обучающих данных, и ключ шифрования генерировался случайным образом, но не хранился и не передавался злоумышленникам, что делает расшифровку без участия атакующих невозможной.
Команда Sysdig пришла к выводу, что случай JadePuffer может означать начало функционирования «агентов-террористов». Это снижает порог входа для проведения разрушительных кибератак, поскольку теперь даже злоумышленники с ограниченными техническими навыками могут поручить ИИ-агенту выполнение сложных многоэтапных операций.
Однако исследователи также подчёркивают, что полезные нагрузки, созданные с помощью LLM, оставляют характерные следы — детальные комментарии и специфические паттерны поведения — что открывает новые возможности для обнаружения таких атак с помощью специализированных решений безопасности.
Упомянутый сервис
















