Hitech logo

Кейсы

Зафиксирована первая кибератака, полностью проведённая ИИ-агентом

TODO:
Екатерина ШемякинскаяСегодня, 12:15 PM

Исследователи Sysdig описали первый случай, когда программа-вымогатель, получившая название JADEPUFFER, провела полноценную кибератаку без участия человека — всеми действиями управлял ИИ-агент. Он взломал сервер через уязвимость в Langflow, собрал учётные данные, зашифровал 1342 параметра конфигурации и потребовал выкуп. Но ИИ-агент забыл сохранить ключ шифрования — восстановить данные было бы невозможно даже после оплаты.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Исследователи Sysdig обнаружили атаку, перехватив скрипты, которые агент отправлял на заражённые серверы. Атака использовала уязвимость CVE-2025-3248 в популярном фреймворке Langflow для построения ИИ-приложений. Операция разворачивалась в два этапа. На первом агент проник в доступный из интернета экземпляр Langflow через уязвимость удалённого исполнения кода, после чего «прощупал» среду: собрал ключи API поставщиков ИИ, учётные данные облачных сервисов, включая специфический поиск по китайским провайдерам Alibaba, Tencent и Huawei, данные криптокошельков, конфигурационные файлы и пользовательские записи из базы данных PostgreSQL. Попутно агент нашёл внутреннее объектное хранилище MinIO с учётными данными по умолчанию, перебрал все папки и извлёк файл с ключами доступа.

На втором этапе агент переключился на основную цель — отдельный сервер с базой данных MySQL и сервисом управления конфигурациями Alibaba Nacos. Используя известную уязвимость системы аутентификации CVE-2021-29441 и стандартный ключ для подписи JWT-токенов, агент захватил управление сервисом Nacos и через доступ к базе данных MySQL добавил туда собственную учётную запись администратора.

Скорость исправления ошибок указывала на то, что за атакой стоит не человек.

Первая попытка создать учётную запись администратора завершилась неудачей из-за технической ошибки при генерации пароля. Однако всего через 31 секунду агент самостоятельно выяснил причину сбоя, исправил проблему, удалил неудачную запись и создал новую — уже рабочую. После этого он успешно вошёл в систему. Аналогичные сценарии — сбой, немедленная диагностика, исправление — возникали неоднократно на протяжении всей операции.

На последнем этапе агент перешёл к вымогательству. Он зашифровал все 1342 элемента конфигурации Nacos, удалил исходные данные и историю, а затем оставил сообщение с требованием выкупа, биткоин-адресом и контактом. Ключ шифрования он создал случайно, вывел на экран и нигде не сохранил.

Это означает, что жертва не сможет расшифровать данные даже если заплатит выкуп — агент изначально спроектировал атаку так, чтобы восстановление было невозможным. После этого агент принялся удалять базы данных, записав в своём коде, что данные «уже скопированы на сервер злоумышленника» — хотя никаких следов реального копирования исследователи не нашли.

Код агента содержал развёрнутые комментарии на естественном языке, объясняющие логику каждого шага. Хакеры никогда не пишут таких пояснений в своих скриптах, но языковые модели генерируют их автоматически. Именно это стало ещё одним доказательством того, что атаку ведёт ИИ, а не человек: агент сам, по сути, раскрыл свои намерения в собственном коде.

Исследователи Sysdig делают из произошедшего тревожный вывод: порог входа для вымогателей снизился до стоимости запуска ИИ-агента.

Такой агент способен автоматически находить и использовать известные уязвимости в заброшенных или необновляемых системах — и делает это быстрее и дешевле, чем любой человек-злоумышленник. Специалистам по безопасности рекомендуют срочно закрыть уязвимость CVE-2025-3248 в Langflow, сменить ключи подписи Nacos и настроить мониторинг исходящего трафика с серверов приложений.