Искусственный интеллект

ИИ-вымогатель провел атаку без оператора

Маша Даровская
By Маша Даровская , IT-редактор и автор
ИИ-вымогатель провел атаку без оператора
Обложка © Anonhaven

Sysdig описала JADEPUFFER — первый задокументированный случай вымогательской операции, где большую часть цепочки провел автономный агент на большой языковой модели. Человек, судя по выводам исследователей, выбрал цель и подготовил инфраструктуру. Дальше агент работал сам: получил первичный доступ, собрал учетные данные, нашел соседние системы, закрепился, добрался до производственной базы данных, зашифровал записи и оставил требование выкупа.

Так привычные приемы атаки впервые сложились в полный цикл вымогательства без пошагового управления человеком. В отчете Sysdig JADEPUFFER назван «agentic threat actor» — атакующим оператором, где роль оператора выполняет ИИ-агент, а не человек за клавиатурой.

Исследователи Sysdig Threat Research Team опубликовали разбор 1 июля 2026 года. JADEPUFFER получил первичный доступ через уязвимый сервер Langflow — открытый инструмент для сборки приложений и агентных сценариев на базе больших языковых моделей. Входной точкой стала CVE-2025-3248: ошибка отсутствующей проверки подлинности, которая позволяла удаленно выполнять код на сервере Langflow до версии 1.3.0. Описание NVD подтверждает, что уязвимость затрагивала версии Langflow до 1.3.0 и давала удаленному неавторизованному атакующему возможность выполнять произвольный код.

После первичного доступа агент начал вести себя как оператор внутри инфраструктуры. Он собирал сведения о системе, искал секреты в окружении, вытаскивал ключи поставщиков ИИ и облаков, проверял доступные внутренние сервисы, изучал хранилища и конфигурации. В логах были найдены ключи OpenAI, Anthropic, DeepSeek и Gemini, но Sysdig трактует их как трофеи из скомпрометированной среды. Исследователи отдельно указали, что не видели системный промпт или конфигурацию агента, поэтому не могут назвать модель-исполнитель.

Дальше JADEPUFFER сместился к настоящей цели — отдельному производственному серверу базы данных. В отчете говорится о destructive database-extortion playbook: агент зашифровал 1342 конфигурационные записи, затем удалил исходные таблицы и оставил записку о выкупе. Cloud Security Alliance в своем разборе фиксирует тот же ключевой момент: агент связал разведку, кражу учетных данных, перемещение внутри сети, повышение прав и разрушительное шифрование в одну сжатую операцию.

Классические вымогательские атаки раньше почти всегда держались на человеке: оператор выбирал команды, принимал решения при ошибках, переписывал скрипты, вручную оценивал найденные данные и решал, куда двигаться дальше. JADEPUFFER отличился именно поведением между шагами. Агент не просто запускал заранее написанный сценарий, а подстраивался под результат.

Sysdig приводит четыре группы признаков, которые указывают на LLM-управление:

  1. «Самокомментирующийся» код. Полезные нагрузки содержали естественно-языковые комментарии: зачем выполняется действие, какой объект приоритетнее, почему нужно попробовать другой путь. Для одноразовых команд в настоящей атаке такая подробная внутренняя «разметка мыслей» нетипична, а для кода, созданного языковой моделью, наоборот, привычна.

  2. Скорость исправления ошибок. В одном эпизоде агент попытался создать учетную запись, не смог войти, через 12 секунд начал проверять две возможные причины сбоя, а через 31 секунду выпустил исправленный многошаговый вариант. BleepingComputer обращает внимание на этот же эпизод как на пример адаптации в реальном времени, похожей на действия оператора, но без видимого ручного управления.

  3. Ширина охвата. Sysdig насчитала больше 600 осмысленных полезных нагрузок за сжатый промежуток времени. Они не выглядели как один жесткий скрипт: агент менял подход, пробовал разные форматы данных, исправлял парсинг, проверял хранилища, сервисы и учетные записи.

  4. Цельная логика. JADEPUFFER не остановился на первом удачном доступе. Он перебрал секреты, нашел более ценные цели, использовал найденные данные для следующего шага и дошел до базы, где уже выполнил вымогательскую часть.

В атаке не было неизвестного эксплойта. Главная входная точка — CVE-2025-3248 в Langflow — уже была исправлена. The Hacker News отмечает, что проблема закрыта в Langflow 1.3.0, а сама уязвимость стала особенно опасной для интернет-доступных установок, где часто хранятся ключи ИИ-провайдеров и облачные учетные данные.

Еще один элемент цепочки связан с Nacos — системой конфигурации и обнаружения сервисов, которую используют в микросервисных средах. NVD описывает CVE-2021-29441 как обход проверки подлинности в Nacos до версии 1.4.1, при котором механизм доверия к служебному заголовку мог позволить выполнять административные действия без нормальной авторизации.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.