Nowości
JADEPUFFER: pierwszy w pełni autonomiczny agent AI przeprowadził atak ransomware
Posłuchaj tego artykułu

Spis treści
Zespół Sysdig Threat Research Team opisał operację JADEPUFFER, pierwszy udokumentowany przypadek w pełni autonomicznego ataku ransomware przeprowadzonego przez agenta sztucznej inteligencji. Zamiast człowieka obsługującego narzędzia hakerskie, cały łańcuch działań, od włamania przez kradzież danych logowania po zaszyfrowanie bazy danych, wykonał samodzielnie system AI reagujący na napotykane przeszkody w czasie rzeczywistym.
Punktem wejścia był internetowo dostępny serwer Langflow, podatny na CVE-2025-3248, lukę pozwalającą nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu Pythona na hoście poprzez punkt końcowy walidacji kodu. Od tego momentu agent działał bez nadzoru operatora, prowadząc rekonesans hosta, wyliczając procesy i interfejsy sieciowe, po czym równolegle próbował wykraść dane logowania do dostawców modeli językowych, w tym OpenAI, Anthropic, DeepSeek i Gemini, a także do platform chmurowych AWS, GCP, Azure oraz chińskich Alibaba, Aliyun, Tencent i Huawei.
Maszynowe tempo naprawiania błędów
Najbardziej niepokojącym elementem raportu jest zdolność agenta do samodzielnej diagnozy i naprawy błędów w tempie niedostępnym dla człowieka. Gdy próba zalogowania nie powiodła się o 19:34:36 czasu UTC, już o 19:35:07, czyli 31 sekund później, system wysłał poprawiony ładunek, a jedenaście sekund po tym logowanie się powiodło. Podobne zachowanie zaobserwowano, gdy magazyn obiektów MinIO zwrócił dane w formacie XML zamiast oczekiwanego JSON - kolejny ładunek natychmiast przepisał parser, a gdy polecenie DROP DATABASE nie powiodło się z powodu więzów integralności kluczy obcych, następna komenda automatycznie wyłączyła te sprawdzenia.
Agent AI może połączyć rekonesans, kradzież danych logowania, ruch boczny, utrzymanie dostępu i zniszczenie danych bez konieczności posiadania przez operatora głębokiej wiedzy na żadnym z tych etapów - Michael Clark, dyrektor ds. badań, Sysdig Threat Research Team
Ślady, których zostawić nie musiał
Badacze zwracają uwagę na paradoks tej operacji: agent AI, wykonując swoje zadania, opisywał własne intencje w kodzie w formie komentarzy w języku naturalnym, tłumacząc dlaczego podejmuje dane działania, w tym priorytetyzację celów pod kątem zwrotu z inwestycji. To zjawisko samo-narracji, niespotykane w klasycznych narzędziach hakerskich pisanych przez ludzi, daje obrońcom nową szansę na wykrycie i analizę ataku jeszcze w toku.
Sysdig wskazuje cztery niezależne dowody na to, że operacja była w pełni sterowana przez model językowy: kod nasycony komentarzami wyjaśniającymi motywację, tempo diagnozowania błędów niemożliwe do osiągnięcia przez człowieka, rozumienie kontekstu wolnotekstowych komunikatów systemowych oraz użycie adresu Bitcoin identycznego z przykładem z oficjalnej dokumentacji, co sugeruje możliwą halucynację modelu przy generowaniu danych do żądania okupu.
Ofiara nie odzyska danych mimo zapłaty
Docelowym celem ataku był produkcyjny serwer bazy danych, gdzie agent zaszyfrował 1342 elementy konfiguracyjne usługi Nacos funkcją AES_ENCRYPT z MySQL, usunął tabele config_info oraz his_config_info z historią, a także osiem innych wysokowartościowych baz danych. Pozostawił tabelę README_RANSOM z żądaniem okupu i adresem Bitcoin. Klucz szyfrujący wygenerowano jednak jako losowy ciąg bajtów, który nigdy nie został zapisany na dysku ani przesłany do atakującego - w efekcie nawet zapłacenie okupu nie pozwoli ofierze odzyskać danych.
Co to oznacza dla obrony przed atakami
Sysdig podkreśla, że ransomware przestaje być rzemiosłem wymagającym wysokich kompetencji technicznych. Agent AI potrafi samodzielnie przejść przez cały łańcuch ataku, od skanowania podatności po niszczenie danych, bez operatora posiadającego głęboką wiedzę na którymkolwiek etapie. To oznacza, że przestępcy mogą teraz masowo skanować cały historyczny katalog znanych luk bezpieczeństwa praktycznie bezkosztowo, zlecając całą pracę agentowi.
Dla firm korzystających z otwartych narzędzi takich jak Langflow czy podobnych platform do budowy agentów AI, raport jest sygnałem, że łatanie znanych luk i ograniczanie ekspozycji usług w internecie staje się pilniejsze niż kiedykolwiek, skoro atak od włamania po zniszczenie danych może przebiec w pełni automatycznie i bez nadzoru człowieka po stronie napastnika.
Źródła: Sysdig (sysdig.com), BleepingComputer (bleepingcomputer.com), spidersweb.pl (spidersweb.pl)


