Компания Sysdig сообщила об атаке вымогателя, в ходе которой языковая модель самостоятельно взломала систему, украла учётные данные и уничтожила базы данных. Управления человеком зафиксировано не было.
Раньше программы-вымогатели требовали участия злоумышленника на каждом этапе. Человек планировал атаку, выбирал цели и писал или генерировал скрипты. Согласно отчёту команды исследования угроз облачной компании Sysdig, впервые всю эту роль взял на себя ИИ-агент. Исследователи назвали атакующего JADEPUFFER и характеризуют его как «агентную угрозу» — его атакующие возможности обеспечивает модель ИИ, а не человек.
Первоначальное проникновение произошло через известную уязвимость (CVE-2025-3248) в Langflow — популярном инструменте для создания ИИ-приложений. Эта брешь позволяет злоумышленникам выполнять собственный код на сервере без пароля. Разработчики Langflow выпустили исправление ещё в апреле 2025 года, то есть патч был доступен больше года. Вскоре после этого Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило уязвимость в каталог активно эксплуатируемых, фактически призвав немедленно установить обновление.
В данном инциденте патч установлен не был. Агент использовал уязвимость и с первого же сервера начал продвижение вглубь сети. Он собрал учётные данные, настроил постоянный доступ и в итоге добрался до отдельного продуктивного сервера с базой данных MySQL — главной цели.
Машина исправила свою ошибку за 31 секунду
Самое убедительное доказательство отсутствия человека за клавиатурой, по мнению Sysdig, сводится к одному моменту. Агент попытался создать учётную запись администратора. Попытка входа не удалась. Через 31 секунду он отправил исправленную команду, которая диагностировала ошибку, удалила сломанную учётку и заново создала рабочую.
По словам исследователей, человеку, который читает сообщение об ошибке, выясняет причину и пишет новый скрипт, потребовалось бы гораздо больше времени. Ещё одним признаком стало то, что сгенерированный ИИ код содержал комментарии на естественном языке, объясняющие, почему он хочет сначала удалить конкретную базу данных. Как отмечают в Sysdig, злоумышленники-люди почти никогда не пишут таких комментариев. Модели ИИ делают это рефлекторно.
В итоге агент зашифровал 1342 конфигурационные записи и удалил исходные таблицы. В записке с требованием выкупа требовался биткойн и был указан адрес Proton Mail. Однако ключ расшифровки был показан только один раз и нигде не сохранён и не отправлен. Выплата выкупа не вернула бы данные. Сам биткойн-адрес оказался широко известным демонстрационным адресом из документации для разработчиков — вероятно, модель просто взяла его из своих обучающих данных.
Старые ошибки, машинная скорость
Ни одна из использованных техник не была новой. Атака использовала давно известные уязвимости и слабые пароли по умолчанию. Новизна в том, что модель ИИ самостоятельно объединила все эти элементы в полноценную операцию вымогательства. Это снижает входной барьер для программ-вымогателей до стоимости запуска ИИ-агента. Правда, пока нет независимого подтверждения от жертвы, правоохранительных органов или других фирм по безопасности. При этом Sysdig сама продаёт продукты, предназначенные для обнаружения именно таких автоматизированных атак.
Шейн Барни, директор по информационной безопасности Keeper Security, дал трезвую оценку в комментарии для Hackread. По его мнению, JADEPUFFER следует воспринимать не как научную фантастику, а как провал управления учётными данными на машинной скорости. Решающим фактором стали не новые методы атаки, а скомпрометированные секреты, неудалённые пароли по умолчанию, открытый привилегированный доступ и отсутствие мониторинга активных сессий в реальном времени.
Барни сослался на исследование Keeper, согласно которому 72% организаций не способны выявить неправомерное использование учётных данных в реальном времени и часто замечают несанкционированный привилегированный доступ лишь спустя несколько часов после его начала. Такой разрыв становится опасным, когда ИИ-агент может превратить неудачную попытку входа в работающую учётную запись администратора менее чем за минуту.
Вывод Барни прямолинеен: привилегированный доступ должен быть ограничен по времени и привязан к конкретным задачам. Секреты следует хранить в защищённых хранилищах с регулярной ротацией. А сессии нужно отслеживать в активном режиме, а не постфактум, когда ущерб уже нанесён.