Sysdig описала JADEPUFFER — первый задокументированный случай вымогательской операции, где большую часть цепочки провел автономный агент на большой языковой модели. Человек, судя по выводам исследователей, выбрал цель и подготовил инфраструктуру. Дальше агент работал сам: получил первичный доступ, собрал учетные данные, нашел соседние системы, закрепился, добрался до производственной базы данных, зашифровал записи и оставил требование выкупа.
Так привычные приемы атаки впервые сложились в полный цикл вымогательства без пошагового управления человеком. В отчете Sysdig JADEPUFFER назван «agentic threat actor» — атакующим оператором, где роль оператора выполняет ИИ-агент, а не человек за клавиатурой.
Исследователи Sysdig Threat Research Team опубликовали разбор 1 июля 2026 года. JADEPUFFER получил первичный доступ через уязвимый сервер Langflow — открытый инструмент для сборки приложений и агентных сценариев на базе больших языковых моделей. Входной точкой стала CVE-2025-3248: ошибка отсутствующей проверки подлинности, которая позволяла удаленно выполнять код на сервере Langflow до версии 1.3.0. Описание NVD подтверждает, что уязвимость затрагивала версии Langflow до 1.3.0 и давала удаленному неавторизованному атакующему возможность выполнять произвольный код.
После первичного доступа агент начал вести себя как оператор внутри инфраструктуры. Он собирал сведения о системе, искал секреты в окружении, вытаскивал ключи поставщиков ИИ и облаков, проверял доступные внутренние сервисы, изучал хранилища и конфигурации. В логах были найдены ключи OpenAI, Anthropic, DeepSeek и Gemini, но Sysdig трактует их как трофеи из скомпрометированной среды. Исследователи отдельно указали, что не видели системный промпт или конфигурацию агента, поэтому не могут назвать модель-исполнитель.
Дальше JADEPUFFER сместился к настоящей цели — отдельному производственному серверу базы данных. В отчете говорится о destructive database-extortion playbook: агент зашифровал 1342 конфигурационные записи, затем удалил исходные таблицы и оставил записку о выкупе. Cloud Security Alliance в своем разборе фиксирует тот же ключевой момент: агент связал разведку, кражу учетных данных, перемещение внутри сети, повышение прав и разрушительное шифрование в одну сжатую операцию.
Классические вымогательские атаки раньше почти всегда держались на человеке: оператор выбирал команды, принимал решения при ошибках, переписывал скрипты, вручную оценивал найденные данные и решал, куда двигаться дальше. JADEPUFFER отличился именно поведением между шагами. Агент не просто запускал заранее написанный сценарий, а подстраивался под результат.
Sysdig приводит четыре группы признаков, которые указывают на LLM-управление:
-
«Самокомментирующийся» код. Полезные нагрузки содержали естественно-языковые комментарии: зачем выполняется действие, какой объект приоритетнее, почему нужно попробовать другой путь. Для одноразовых команд в настоящей атаке такая подробная внутренняя «разметка мыслей» нетипична, а для кода, созданного языковой моделью, наоборот, привычна.
-
Скорость исправления ошибок. В одном эпизоде агент попытался создать учетную запись, не смог войти, через 12 секунд начал проверять две возможные причины сбоя, а через 31 секунду выпустил исправленный многошаговый вариант. BleepingComputer обращает внимание на этот же эпизод как на пример адаптации в реальном времени, похожей на действия оператора, но без видимого ручного управления.
-
Ширина охвата. Sysdig насчитала больше 600 осмысленных полезных нагрузок за сжатый промежуток времени. Они не выглядели как один жесткий скрипт: агент менял подход, пробовал разные форматы данных, исправлял парсинг, проверял хранилища, сервисы и учетные записи.
-
Цельная логика. JADEPUFFER не остановился на первом удачном доступе. Он перебрал секреты, нашел более ценные цели, использовал найденные данные для следующего шага и дошел до базы, где уже выполнил вымогательскую часть.
В атаке не было неизвестного эксплойта. Главная входная точка — CVE-2025-3248 в Langflow — уже была исправлена. The Hacker News отмечает, что проблема закрыта в Langflow 1.3.0, а сама уязвимость стала особенно опасной для интернет-доступных установок, где часто хранятся ключи ИИ-провайдеров и облачные учетные данные.
Еще один элемент цепочки связан с Nacos — системой конфигурации и обнаружения сервисов, которую используют в микросервисных средах. NVD описывает CVE-2021-29441 как обход проверки подлинности в Nacos до версии 1.4.1, при котором механизм доверия к служебному заголовку мог позволить выполнять административные действия без нормальной авторизации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.