Фирмата за сигурност Sysdig съобщава, че е открила това, което смята за първата атака с рансъмуер, извършена от началото до края изцяло от AI агент.
Техният екип за изследване на заплахите нарича оператора JADEPUFFER и твърди, че голям езиков модел е управлявал целия процес: компрометиране на системата, кражба на идентификационни данни, странично движение по-дълбоко в мрежата, и накрая – криптиране и изтриване на производствената база данни на компанията.
Досега атаките с рансъмуер винаги са изисквали квалифициран човек по веригата – било то зад клавиатурата или при писането на скрипта, който зловредният софтуер следва. Ако един модел може да свърже тези стъпки самостоятелно, бариерата за влизане и уменията, нужни за провеждане на атака, спадат до цената за наемане на AI агент.
Входната точка е била стара, вече пачната уязвимост. JADEPUFFER е експлоатирал CVE-2025-3248 – уязвимост, свързана с липса на автентификация в Langflow (инструмент с отворен код за изграждане на AI приложения и работни процеси за агенти). Тази слабост позволява на всеки, който има достъп до сървъра, да изпълнява собствен Python код на него без необходимост от вход.
Инсталациите на Langflow са примамлива мишена, тъй като често са изложени директно в интернет и съхраняват API ключове и облачни идентификационни данни за услугите, към които се свързват. Проблемът е коригиран във версия Langflow 1.3.0 и добавен в списъка на CISA с известни експлоатирани уязвимости през май 2025 г., но много сървъри така и не са били актуализирани.
Веднъж влязъл, агентът е работил бързо и е заличил следите си. Проучил е машината, след което я е сканирал за тайни: API ключове за AI услуги (OpenAI, Anthropic, DeepSeek, Gemini), облачни идентификационни данни (китайски доставчици като Alibaba и Tencent, заедно с AWS, Google и Azure), ключове за крипто портфейли и логини за бази данни. Той е компрометирал и MinIO сървър за съхранение, използвайки фабричните настройки за вход по подразбиране (minioadmin:minioadmin), които не са били променени. Освен това е създал планирана задача за постоянен достъп, която изпраща пинг към сървъра на атакуващия на всеки 30 минути.
След това се е насочил към същинската си цел: отделен, свързан с интернет сървър, работещ с MySQL база данни и Alibaba Nacos. Агентът е влязъл в базата данни като root. Sysdig отбелязва, че източникът на тези root идентификационни данни остава неизвестен. Оттам той е поел контрола над Nacos, използвайки уязвимост за заобикаляне на автентификацията от 2021 г. (CVE-2021-29441) и подписващ ключ по подразбиране, доставян непроменен от 2020 г., след което е създал свой администраторски акаунт.
Агентът е криптирал всичките 1342 настройки на Nacos, изтрил е оригиналните таблици и е оставил бележка за откуп, изискваща Bitcoin с Proton Mail контакт за връзка. Той е генерирал произволен ключ за криптиране, изписал го е на екрана веднъж и никога не го е запазил или изпратил никъде. Това означава, че ключ за възстановяване на данните реално не съществува и жертвата не може да си ги върне, дори и да плати.
Как експертите са разбрали, че зад атаката стои AI?
Най-ясният знак е бил самият код. Командите са съдържали коментари на обикновен английски език, обясняващи защо се предприема всяка стъпка – текущ коментар, какъвто човешките хакери рядко си правят труда да пишат, но моделите генерират по подразбиране. Агентът също така е коригирал собствените си грешки с машини скорост. В един от случаите е преминал от неуспешен вход до правилна корекция в няколко стъпки за едва 31 секунди. Sysdig преброява над 600 отделни целенасочени действия по време на операцията.
Един детайл остава загадка. Bitcoin адресът в съобщението за откуп е абсолютно същият тестов адрес, който се появява в документацията за разработчици на Bitcoin, което означава, че той присъства навсякъде в текстовете, с които тези модели се обучават. Въпреки това, той е и реален, активен портфейл с дълга история на плащания. Не е ясно дали моделът просто е копирал познат адрес от паметта си, или операторът умишлено е използвал реален портфейл, съвпадащ с популярния пример.