Автономный ИИ-вымогатель JadePuffer полностью провёл кибератаку без участия человека

изображение: grok
Команда Sysdig зафиксировала, судя по всему, первую вымогательскую кампанию, где языковая модель самостоятельно провела разведку, скомпрометировала инфраструктуру и уничтожила данные — оператор в процесс не вмешивался. Кампания получила имя JadePuffer, атака затронула открытые экземпляры платформы Langflow, среди потенциальных жертв оказались и российские пользователи сервиса. Отправной точкой стала уязвимость CVE-2025-3248, дальше агент действовал сам.
Отчёт подготовило подразделение Sysdig Threat Research. Модель не опиралась на жёстко прописанные сценарии, а принимала решения по ходу дела — если очередной шаг проваливался, агент менял параметры, перебирал варианты и повторял попытку. В одном из зафиксированных эпизодов переход от неудачной авторизации к успешному входу занял 31 секунду.
Сама цепочка выглядела так:
- эксплуатация CVE-2025-3248 в Langflow и первичный доступ к серверу;
- сбор API-ключей, облачных учётных данных и паролей к базам;
- выгрузка внутренней базы PostgreSQL самой платформы Langflow;
- сканирование доступных сервисов в сегменте и проверка хранилища MinIO;
- закрепление через задачу cron для повторного запуска после перезагрузки.
Стоит обратить внимание, что модель фактически комментировала собственные шаги — описывала, что делает и почему выбирает ту или иную цель. Исследователи допускают, что такие текстовые следы могут стать новым сигналом для систем обнаружения.
Через некоторое время агент добрался до производственного сервера MySQL, где крутился сервис Alibaba Nacos, и вошёл туда под учёткой администратора. Дальше он попробовал несколько вариантов воздействия, в том числе эксплойт для CVE-2021-29441. Финалом стало уничтожение данных — все 1342 элемента конфигурации Nacos были зашифрованы, а исходные версии удалены.
Механизм шифрования оказался нетипичным. Ключ генерировался случайно, выводился только в консоль и никуда не сохранялся, никуда не передавался. По сути, восстановить данные невозможно даже при уплате выкупа — расшифровывать попросту нечем, ключ исчезает вместе с завершением сессии агента.
Разрушительность действий нарастала постепенно. Анализ полезной нагрузки показал, что сначала агент удалял отдельные записи баз данных, потом переходил к целым схемам. Такое поведение похоже на пробу пера — модель словно проверяла, до какой границы можно дойти, а потом расширяла масштаб.
Sysdig выделила несколько выводов по итогам разбора инцидента:
- языковые модели уже способны провести полный цикл атаки без человека;
- эксплуатируются давно известные уязвимости и настройки по умолчанию;
- текстовые пояснения агента могут пригодиться защитникам как новый источник телеметрии;
- заявление о краже данных пока подтверждается только словами самой модели;
- скорость выполнения задач резко сокращает окно для реагирования.
Интересно, что признаков реальной эксфильтрации данных на внешние серверы обнаружить не удалось — угроза утечки пока держится исключительно на репликах агента. Возможно, модель блефовала, чтобы усилить давление на жертву.
Хит Ренфроу, сооснователь и директор по информационной безопасности Fenix24, заявил, что подобные автономные системы резко сжимают время, которое остаётся у команд реагирования. То, на что опытный атакующий тратил часы, ИИ проделывает за минуты. Ренфроу уточнил, что фокусироваться только на ИИ у нападающих — путь в никуда. Базовые вещи никуда не делись — своевременные патчи, защита учётных записей, ограничение привилегий, сегментация сетей, мониторинг событий и минимум сервисов, торчащих в интернет.
Российские компании, работающие с Langflow, MinIO, MySQL и Alibaba Nacos, попадают в ту же зону риска, что и зарубежные пользователи — уязвимость CVE-2025-3248 не разбирает юрисдикции, а конфигурации по умолчанию у всех примерно одинаковые. Отечественные администраторы получают тот же набор проблем — открытые панели управления, забытые пароли и неустановленные обновления превращаются в готовый плацдарм для автономного агента.
Ещё один момент, который выделили в Sysdig, касается стоимости атак. Раньше подобная кампания требовала работы нескольких квалифицированных специалистов, а теперь достаточно арендовать доступ к языковой модели и подкинуть ей стартовый вектор. Порог входа в киберпреступность падает, а география потенциальных жертв расширяется до всех, у кого в интернет смотрит уязвимый сервис.
Отдельно исследователи обратили внимание на то, что агент не устраивал показательного вымогательства с длинными записками и переговорами. Модель шла напролом — зашифровала, удалила, оставила консольный вывод и завершилась. Такая манера поведения выбивается из привычного портрета вымогательских группировок и осложняет атрибуцию.
Ранее сообщалось, что после разгрома нескольких крупных операторов программ-вымогателей лидирующие позиции на рынке Ransomware-as-a-Service заняла группировка Qilin. По актуальным оценкам, на её долю приходится около 16% этого криминального сегмента. При этом исследователи отмечали, что конкурирующие группировки быстро наращивают активность, а сами операторы программ-вымогателей уже давно не ограничивают выбор целей по географическому признаку, поэтому угроза в равной степени сохраняется и для российских организаций.
Эксперты редакции CISOCLUB прокомментировали случай так — кейс JadePuffer показывает, что граница между инструментом и оператором стирается быстрее, чем индустрия успевает готовить контрмеры. Специалисты редакции уточнили, что автономные агенты не изобретают новых уязвимостей, а лишь эксплуатируют накопленные годами долги в базовой гигиене — непропатченные системы, дефолтные конфиги, забытые сервисы. Именно эти вещи стоит закрывать в первую очередь, не отвлекаясь на пугающие заголовки про ИИ.
Редакция обратила внимание, что бесключевое шифрование меняет саму экономику вымогательства — платить становится бессмысленно, а значит защита данных смещается от переговоров к предотвращению. Отдельного разбора заслуживает и способность агента комментировать свои действия — при грамотной настройке SIEM и EDR такие следы можно превратить в сильный детект.



