ИИ-агент провёл вымогательскую атаку без участия человека

3 мин
52
9 июля 2026

Вредоносом, который назвали JADEPUFFER, полностью управлял ИИ-агент без единого действия человека. Обнаружившие его исследователи из команды Sysdig Threat Research Team отметили, что встречают такое ВПО впервые. Для входа в систему JADEPUFFER  использовал уязвимость CVE-2025-3248 в открытом сервере Langflow.

CVE-2025-3248 — это уязвимость отсутствия проверки подлинности на конечной точке валидации кода Langflow. Она позволяет неавторизованному злоумышленнику выполнять произвольный код на сервере. Такие серверы часто содержат ключи от облака и API моделей без надлежащей защиты. Поэтому они и стали лёгкой добычей для ИИ-агента.

Вредонос украл ключи API от OpenAI, Anthropic, DeepSeek, ИИ-асситента Gemini, пароли от облаков, данные криптокошельков, доступы к базам данных и многое другое. ВПО скачало базу Postgres самого Langflow, а затем нашло в сети хранилище MinIO. Поскольку в хранилище стоял стандартный пароль minioadmin, вредонос украл все бакеты и файлы с учётными данными. Когда сервер один раз ответил не тем форматом, ИИ-агент, отвечающий за атаку, переписал код и продолжил работу, чтобы не потерять доступ. Затем было создано задание в планировщике: каждые 30 минут сервер отправлял сигнал на адрес атакующих.

Дальше ИИ-агент добрался до сервера с базой MySQL и системой конфигурации Nacos от Alibaba. Он ударил сразу с трёх сторон: воспользовался старой уязвимостью в защите Nacos, подделал токен доступа стандартным ключом, который был в открытом доступе с 2020 года, и создал скрытую учётную запись администратора. Первая попытка провалилась — пароль не сработал, но через 31 секунду ИИ-агент удалил неудачную запись, создал новую с рабочим паролем и успешно вошёл. Он проверил Docker-сокет и системные файлы и удалил свои временные файлы.

После этого вредонос зашифровал 1,3 тысячи записей конфигурации, удалил исходные таблицы вместе с их историей и оставил в базе записку с требованием выкупа: биткоин-адрес и почту на Proton Mail. Ключ шифрования ИИ-агент сгенерировал случайно, один раз показал в логе и нигде не сохранил.

Эксперты обратили внимание на код вредоноса с пояснениями буквально к каждому шагу. По их мнению, люди так почти не пишут, а модели делают это постоянно. ИИ-агент во время атаки находил и исправлял свои же ошибки за секунды: когда команда удаления базы данных сломалась из-за связанных таблиц, следующая команда уже учитывала это. Модель также явно понимала смысл текста, а не просто искала совпадения по шаблону.

Биткоин-адрес из записки часто встречается как пример в обучающей документации для разработчиков, модель могла забрать его случайно. Но через этот кошелёк прошло 700 переводов на сумму 46 биткоинов, а к моменту расследования баланс был нулевым — все поступления сразу уходили дальше. Откуда взялось это совпадение, исследователи так и не выяснили.

За короткое время атакующий выполнил больше 600 команд. Все эти признаки указывают на проведение операции не командой хакеров или по готовому скрипту, а именно автономным ИИ-агентом. При этом ни один приём атаки не был новым. Главным нововведением стало то, что модель сама собрала их в цельную схему против незащищённой системы.

Важное по теме
Новости
Читать 3 минуты
09.07.2026
Было проведено три крупных операции
Новости
Читать 3 минуты
09.07.2026
Главная проблема бизнеса в недостатке обучения сотрудников и отсутствии чётких внутренних правил
В роботах-газонокосилках нашли неотключаемый удалённый доступ
Новости
Читать 3 минуты
08.07.2026
В прошивке был удалённый доступ с root-правами
Оставьте комментарий
Доступно для авторизованных пользователей
1/1000