Эксперты специализирующейся на облачной кибербезопасности компании Sysdig задокументировали инцидент, который назвали первой в историей атакой агента-вымогателя. В ходе неё операцией руководил не человек, а большая языковая модель искусственного интеллекта — от проникновения в систему до компрометации сервера и уничтожения данных.
Источник изображения: sysdig.com
Исследователи присвоили агенту название JadePuffer и заявили, что он взломал ресурс через подключённый к интернету сервер Langflow, эксплуатируя уязвимость CVE-2025-3248, после чего развернулась полностью автоматизированная атака. Полезные нагрузки содержали рассуждения, изложенные естественным языком, указывают эксперты; операция адаптировалась в реальном времени — в одном из случаев путь от неудачного входа в систему до рабочего исправления вредоносного кода был пройден за 31 секунду.
Произведя вход в систему посредством эксплуатации уязвимости CVE-2025-3248, которая позволяет выполнять на хосте произвольный код на Python, агент начал сканировать и собирать закрытую информацию, в том числе ключи API китайских ИИ-провайдеров, учётные данные облачных служб AWS, Azure и Google, криптовалютные кошельки и информацию для доступа к базам данных. ИИ-агент установил на сервере Langflow запись crontab, чтобы тот каждые 30 минут обращался к инфраструктуре злоумышленника.
Предполагаемой целью JadePuffer был отдельный доступный из интернета рабочий сервер с базой данных MySQL и службой конфигурации Alibaba Nacos. Агент подключился к открытому порту сервера MySQL с правами root, причём не удалось установить, как он получил эти учётные данные — на взломанном ресурсе они отсутствовали. Затем JadePuffer по нескольким направлениям атаковал Nacos, в том числе эксплуатируя уязвимость обхода авторизации CVE-2021-29441 и подделку действующего веб-токена JSON (JWT) с использованием ключа подписи Nacos по умолчанию; используя доступ к корневой базе данных, агент внедрил администратора бэкдора в резервную базу данных Nacos.
В итоге ИИ-злоумышленник зашифровал все 1342 элемента конфигурации службы Nacos с использованием встроенной функции шифрования AES MySQL и создал требование о вымогательстве, указав биткоин-кошелёк и адрес электронной почты. К сожалению, восстановить утраченные данные жертва уже не сможет, даже если перечислит выкуп: сначала агент удалял данные из базы точечно, а затем стал ликвидировать схемы данных, не создавая резервной копии, но комментируя каждое своё действие.
Чтобы защититься от подобных атак, эксперты рекомендуют обновить Langflow до выпуска с исправлением CVE-2025-3248, не открывать конечные точки для проверки и выполнения кода в интернет; не открывать доступ к Nacos из интернета, поменять ключ по умолчанию и обновить его до версии, когда требуется использовать только собственный ключ. Особенно сложных или уникальных методов взлома JadePuffer не использовал, но примечателен тот факт, что большая языковая модель связала их в полноценную операцию против заброшенной инфраструктуры с выходом в интернет. Таким образом, себестоимость кибератак при наличии вредоносных ИИ-агентов значительно сокращается — и даже может падать почти до нуля.