Как рассказали в компании, программа, получившая идентификатор JADEPUFFER, действовала без участия человека на всех этапах операции, включая разведку, проникновение в инфраструктуру, шифрование критически важных данных и выдвижение требований о выкупе в биткоинах.
Взломал систему и даже потребовал выкуп: в сети зафиксирована первая кибератака, полностью проведенная ИИ-агентом

Специалисты компании Sysdig во вторник, 7 июля, зафиксировали инцидент, в ходе которого искусственный интеллект самостоятельно реализовал полный цикл атаки-вымогательства.

Невозможный до сих пор технологический инцидент начался с эксплуатации уязвимости CVE-2025-3248 в открытом фреймворке Langflow, предназначенном для разработки приложений на базе больших языковых моделей. Данная уязвимость с критическим рейтингом 10.0 по шкале CVSS 3.1 позволяет осуществлять удаленное выполнение кода без предварительной авторизации.
После получения доступа к серверу Langflow ИИ-агент приступил к автоматизированному изучению среды и сбору учетных данных. JADEPUFFER извлек ключи доступа к облачным сервисам, ориентируясь на провайдеров Alibaba, Tencent и Huawei. В ходе поиска были обнаружены и скопированы конфигурационные файлы, данные криптовалютных кошельков и записи пользователей из базы данных PostgreSQL.
Перемещаясь внутри сети, агент обнаружил хранилище объектов MinIO со стандартными настройками доступа. Действуя методом адаптивного перебора, ИИ-модель анализировала структуру папок и извлекала файлы с ключами. При получении ответов в неожиданных форматах, например XML, программа за 31 секунду переписывала сценарий парсинга и повторяла запрос до достижения результата. Для закрепления в системе агент создал задачу, которая каждые полчаса инициировала соединение с командным сервером.
Второй этап атаки был направлен на производственный сервер с базой данных MySQL и платформой управления конфигурациями Alibaba Nacos. Используя уязвимость обхода аутентификации и стандартный ключ для подписи, JADEPUFFER захватил контроль над сервисом. Через прямой доступ к базе данных MySQL агент создал скрытую учетную запись администратора, после чего приступил к финальной фазе.
ИИ-агент зашифровал 1342 элемента конфигурации Nacos, удалил исходные таблицы и историю логов, оставив сообщение с требованием выкупа. Технический анализ показал, что ключ шифрования был сгенерирован случайно и отображен в консоли лишь единожды без сохранения копии. Это исключает возможность восстановления данных даже при условии оплаты выкупа.

В ходе кампании исследователи зафиксировали более 600 последовательных действий агента. Автономный характер операции подтверждался структурой исполняемого кода, который содержал развернутые комментарии на естественном языке с пояснениями логики и приоритетов каждого шага. В коде присутствовали технические несоответствия, характерные для генеративных моделей.
Кроме того, в тексте требования выкупа фигурировал биткоин-кошелек, ранее упоминавшийся только в технической документации в качестве примера. Несмотря на программные заявления агента о копировании данных на внешний сервер, следов реальной фильтрации баз данных обнаружено не было.
Тем не менее, случай с JADEPUFFER показал возможность автоматизации сложных цепочек взлома, где ИИ-модель самостоятельно адаптируется к защитным механизмам в режиме реального времени.
Но самым пугающим стало другое — скорость реагирования агента на ошибки конфигурации составила миллисекунды, а диагностика причин неудачного входа заняла менее минуты.
