ИИ-агент провёл вымогательскую атаку без участия человека
Вредоносом, который назвали JADEPUFFER, полностью управлял ИИ-агент без единого действия человека. Обнаружившие его исследователи из команды Sysdig Threat Research Team отметили, что встречают такое ВПО впервые. Для входа в систему JADEPUFFER использовал уязвимость CVE-2025-3248 в открытом сервере Langflow.
CVE-2025-3248 — это уязвимость отсутствия проверки подлинности на конечной точке валидации кода Langflow. Она позволяет неавторизованному злоумышленнику выполнять произвольный код на сервере. Такие серверы часто содержат ключи от облака и API моделей без надлежащей защиты. Поэтому они и стали лёгкой добычей для ИИ-агента.
Вредонос украл ключи API от OpenAI, Anthropic, DeepSeek, ИИ-асситента Gemini, пароли от облаков, данные криптокошельков, доступы к базам данных и многое другое. ВПО скачало базу Postgres самого Langflow, а затем нашло в сети хранилище MinIO. Поскольку в хранилище стоял стандартный пароль minioadmin, вредонос украл все бакеты и файлы с учётными данными. Когда сервер один раз ответил не тем форматом, ИИ-агент, отвечающий за атаку, переписал код и продолжил работу, чтобы не потерять доступ. Затем было создано задание в планировщике: каждые 30 минут сервер отправлял сигнал на адрес атакующих.
Дальше ИИ-агент добрался до сервера с базой MySQL и системой конфигурации Nacos от Alibaba. Он ударил сразу с трёх сторон: воспользовался старой уязвимостью в защите Nacos, подделал токен доступа стандартным ключом, который был в открытом доступе с 2020 года, и создал скрытую учётную запись администратора. Первая попытка провалилась — пароль не сработал, но через 31 секунду ИИ-агент удалил неудачную запись, создал новую с рабочим паролем и успешно вошёл. Он проверил Docker-сокет и системные файлы и удалил свои временные файлы.
После этого вредонос зашифровал 1,3 тысячи записей конфигурации, удалил исходные таблицы вместе с их историей и оставил в базе записку с требованием выкупа: биткоин-адрес и почту на Proton Mail. Ключ шифрования ИИ-агент сгенерировал случайно, один раз показал в логе и нигде не сохранил.
Эксперты обратили внимание на код вредоноса с пояснениями буквально к каждому шагу. По их мнению, люди так почти не пишут, а модели делают это постоянно. ИИ-агент во время атаки находил и исправлял свои же ошибки за секунды: когда команда удаления базы данных сломалась из-за связанных таблиц, следующая команда уже учитывала это. Модель также явно понимала смысл текста, а не просто искала совпадения по шаблону.
Биткоин-адрес из записки часто встречается как пример в обучающей документации для разработчиков, модель могла забрать его случайно. Но через этот кошелёк прошло 700 переводов на сумму 46 биткоинов, а к моменту расследования баланс был нулевым — все поступления сразу уходили дальше. Откуда взялось это совпадение, исследователи так и не выяснили.
За короткое время атакующий выполнил больше 600 команд. Все эти признаки указывают на проведение операции не командой хакеров или по готовому скрипту, а именно автономным ИИ-агентом. При этом ни один приём атаки не был новым. Главным нововведением стало то, что модель сама собрала их в цельную схему против незащищённой системы.
