Первая атака ИИ-вымогателя: что произошло
На прошлой неделе исследователи облачной безопасности из компании Sysdig заявили, что задокументировали первый известный случай «агентного вымогателя» (agentic ransomware). Операция получила название JadePuffer: ИИ-агент, а не человек, от начала и до конца выполнял техническую часть реальной кибератаки. Он проник на уязвимый сервер, похитил учётные данные, перемещался по сети жертвы, зашифровал файлы и даже самостоятельно написал записку с требованием выкупа, адаптируясь к препятствиям подобно живому хакеру. В первых сообщениях об этом инциденте утверждалось, что атака прошла «без какого-либо контроля со стороны человека» и «без человека за клавиатурой».
Однако полная картина сложнее. В интервью изданию CyberScoop в понедельник Майкл Кларк, старший директор по исследованию угроз в Sysdig, пояснил, что человек всё же активно участвовал — просто не в техническом исполнении. «Человек по-прежнему настраивал и направлял операцию, разворачивал инфраструктуру: командный сервер, промежуточный сервер для украденных данных и выбирал жертву», — сказал Кларк. Он добавил, что учётные данные для входа в базу данных жертвы не были добыты самим ИИ-агентом; кто-то получил их отдельно, в результате предыдущей компрометации, и передал операции.
Технические детали атаки
Это не противоречит первоначальному заявлению Sysdig, а технические подробности атаки сами по себе остаются примечательными, даже шокирующими. Агент проник через известную уязвимость в Langflow, популярном инструменте с открытым исходным кодом для создания приложений на базе больших языковых моделей, затем перешёл на рабочий сервер MySQL и использовал ещё одну известную брешь, чтобы получить права администратора. Он зашифровал более 1300 записей конфигурации и не только оставил самостоятельно написанную записку с требованием выкупа, но и указал биткойн-адрес для перевода средств. Sysdig не раскрывает, кто стал жертвой.
Сами методы были довольно обычными; что действительно выделялось, так это скорость и прозрачность действий. Агент исправил неудачную попытку входа всего за 31 секунду, на естественном языке комментируя свои рассуждения в коде на протяжении всего процесса.
Какая модель стояла за атакой?
Одна деталь, которая поначалу вносила путаницу, позже прояснилась. Кларк сообщил CyberScoop, что Sysdig обнаружила «несколько моделей, использованных в атаке», сославшись на украденные ключи к сервисам OpenAI, Anthropic, DeepSeek и Gemini — такая формулировка оставляла вопрос, действительно ли несколько моделей управляли разными этапами вторжения. На просьбу уточнить Кларк пояснил TechCrunch, что эти ключи были просто частью украденного агентом; они не свидетельствуют о том, какая модель принимала решения.
«Агент просканировал хост Langflow на предмет всего ценного: API-ключей провайдеров, облачных учётных данных, криптовалютных кошельков и конфигураций баз данных, — и эти ключи стали частью добычи, — сказал он по электронной почте. — Они показывают, что злоумышленник считал стоящим украсть, но не говорят, какая модель управляла действиями».
По поводу модели, реально стоящей за JadePuffer, Кларк заявил, что Sysdig «не удалось идентифицировать конкретную модель, управлявшую агентом», и у них нет доступа к её системному промту или конфигурации.
Гипотеза исследователя Microsoft
В свете этого стоит вернуться к предположению исследователя Microsoft Джеффа Макдональда, высказанному несколько дней назад в LinkedIn. Макдональд заподозрил, что за атакой стояла открытая модель с удалёнными предохранителями (safety training), а не передовая (frontier) модель: его собственный опыт red-teaming показывает, что защитные слои ведущих лабораторий держатся хорошо. Отчёт Sysdig не подтверждает, но и не опровергает это.
В своём посте Макдональд также предупредил, что кампании вымогателей теперь ограничены в основном бюджетом атакующего, а не человеческими усилиями, что допускает возможность «тысяч или десятков тысяч одновременных кампаний». Это опасение трудно совместить с тем, что описал Кларк в понедельник. (Если человеку всё ещё нужно выбирать каждую жертву, разворачивать инфраструктуру и добывать учётные данные для каждой операции, это, по крайней мере, создаёт узкое место.)
Что дальше?
Как бы то ни было, Кларк сказал CyberScoop, что, хотя Sysdig пока не видела, чтобы та же операция поражала других жертв, он ожидает, что ситуация изменится, учитывая, насколько дёшево запустить такого агента.