Исследователи Sysdig обнаружили атаку, перехватив скрипты, которые агент отправлял на заражённые серверы. Атака использовала уязвимость CVE-2025-3248 в популярном фреймворке Langflow для построения ИИ-приложений. Операция разворачивалась в два этапа. На первом агент проник в доступный из интернета экземпляр Langflow через уязвимость удалённого исполнения кода, после чего «прощупал» среду: собрал ключи API поставщиков ИИ, учётные данные облачных сервисов, включая специфический поиск по китайским провайдерам Alibaba, Tencent и Huawei, данные криптокошельков, конфигурационные файлы и пользовательские записи из базы данных PostgreSQL. Попутно агент нашёл внутреннее объектное хранилище MinIO с учётными данными по умолчанию, перебрал все папки и извлёк файл с ключами доступа.
На втором этапе агент переключился на основную цель — отдельный сервер с базой данных MySQL и сервисом управления конфигурациями Alibaba Nacos. Используя известную уязвимость системы аутентификации CVE-2021-29441 и стандартный ключ для подписи JWT-токенов, агент захватил управление сервисом Nacos и через доступ к базе данных MySQL добавил туда собственную учётную запись администратора.
Скорость исправления ошибок указывала на то, что за атакой стоит не человек.
Первая попытка создать учётную запись администратора завершилась неудачей из-за технической ошибки при генерации пароля. Однако всего через 31 секунду агент самостоятельно выяснил причину сбоя, исправил проблему, удалил неудачную запись и создал новую — уже рабочую. После этого он успешно вошёл в систему. Аналогичные сценарии — сбой, немедленная диагностика, исправление — возникали неоднократно на протяжении всей операции.
На последнем этапе агент перешёл к вымогательству. Он зашифровал все 1342 элемента конфигурации Nacos, удалил исходные данные и историю, а затем оставил сообщение с требованием выкупа, биткоин-адресом и контактом. Ключ шифрования он создал случайно, вывел на экран и нигде не сохранил.
Это означает, что жертва не сможет расшифровать данные даже если заплатит выкуп — агент изначально спроектировал атаку так, чтобы восстановление было невозможным. После этого агент принялся удалять базы данных, записав в своём коде, что данные «уже скопированы на сервер злоумышленника» — хотя никаких следов реального копирования исследователи не нашли.
Код агента содержал развёрнутые комментарии на естественном языке, объясняющие логику каждого шага. Хакеры никогда не пишут таких пояснений в своих скриптах, но языковые модели генерируют их автоматически. Именно это стало ещё одним доказательством того, что атаку ведёт ИИ, а не человек: агент сам, по сути, раскрыл свои намерения в собственном коде.
Исследователи Sysdig делают из произошедшего тревожный вывод: порог входа для вымогателей снизился до стоимости запуска ИИ-агента.
Такой агент способен автоматически находить и использовать известные уязвимости в заброшенных или необновляемых системах — и делает это быстрее и дешевле, чем любой человек-злоумышленник. Специалистам по безопасности рекомендуют срочно закрыть уязвимость CVE-2025-3248 в Langflow, сменить ключи подписи Nacos и настроить мониторинг исходящего трафика с серверов приложений.

