Nowości
Badacze Sysdig udokumentowali pierwszy w pełni autonomiczny atak ransomware AI

Spis treści
Badacze z firmy Sysdig udokumentowali przypadek, w którym agent AI sam przeprowadził pełny atak ransomware, od włamania na serwer po zaszyfrowanie danych i napisanie żądania okupu. Kampanię nazwaną JadePuffer opisano jako pierwszy udokumentowany przypadek, gdy cały cykl ataku, od rekonesansu po zniszczenie danych, wykonał autonomiczny agent oparty na dużym modelu językowym.
Jak przebiegał atak
Według Sysdig agent włamał się na podatny serwer wykorzystując znaną lukę w Langflow, popularnym narzędziu open source do budowania aplikacji z modelami językowymi. Stamtąd wykradł dane uwierzytelniające, przemieścił się po sieci ofiary, zaatakował serwer Nacos i bazę danych MySQL, po czym zaszyfrował pliki konfiguracyjne i skasował oryginały.
Najbardziej niepokojącym elementem był sposób, w jaki agent reagował na przeszkody. Gdy jedna z jego komend zawiodła, sam przeanalizował przyczynę i w ciągu 31 sekund napisał poprawioną wersję kodu z komentarzami w języku naturalnym, opisującymi kolejne kroki rozumowania.
JadePuffer funkcjonuje inaczej, ponieważ najpierw analizuje sytuację, potem podejmuje decyzje i zmienia strategię w zależności od napotkanych przeszkód - badacze Sysdig
Człowiek wciąż w tle
Nie oznacza to jednak, że człowiek zniknął z procesu całkowicie. Michael Clark, starszy dyrektor ds. badań zagrożeń w Sysdig, podkreślił w rozmowie z TechCrunch, że ktoś musiał przygotować całą infrastrukturę operacji.
Człowiek nadal skonfigurował i ukierunkował operację oraz przygotował stojącą za nią infrastrukturę: serwer command-and-control, serwer do przechowywania wykradzionych danych, a także wybrał ofiarę - Michael Clark, Sysdig
Człowiek dostarczył też wcześniej wykradzione dane uwierzytelniające, które posłużyły agentowi jako punkt wejścia. Innymi słowy, ludzie nie siedzieli już przy klawiaturze wykonując techniczne kroki włamania, ale nadal decydowali strategicznie, komu zagrozić i jak zorganizować zaplecze operacji.
Nie pierwszy taki przypadek, ale inny
To nie pierwsza udokumentowana próba ransomware sterowanego przez AI. Latem 2025 roku badacze ESET opisali PromptLock, złośliwe oprogramowanie proof-of-concept korzystające lokalnie z modelu gpt-oss-20b do generowania skryptów Lua, które jednak nigdy nie zostało użyte w rzeczywistym ataku. JadePuffer różni się tym, że to udokumentowana, przeprowadzona kampania z realnym celem, realnie zaszyfrowanymi danymi i realnym żądaniem okupu, a nie tylko dowód koncepcji w laboratorium.
Eksperci cytowani przez portale branżowe zwracają uwagę, że ransomware od zawsze wymagał człowieka piszącego skrypt lub sterującego atakiem na żywo. JadePuffer pokazuje, że ten warunek przestaje być konieczny, a agent potrafi działać szybciej niż jakikolwiek ludzki operator, adaptując taktykę w czasie rzeczywistym.
Co to znaczy dla firm
Dla zespołów bezpieczeństwa oznacza to zmianę skali zagrożenia. Autonomiczny agent nie potrzebuje przerw na sen, nie popełnia błędów wynikających ze zmęczenia i może prowadzić wiele równoległych ataków bez proporcjonalnego zwiększania liczby ludzi po stronie przestępców. To obniża próg wejścia dla mniej zaawansowanych grup przestępczych, które wcześniej nie miały wystarczających kompetencji technicznych do przeprowadzenia wielostopniowego włamania.
Dla polskich firm i administracji, które i tak notują rosnącą liczbę cyberataków wspieranych przez AI, przypadek JadePuffer to sygnał, że klasyczne mechanizmy obrony oparte na wykrywaniu wzorców znanych rodzin ransomware mogą nie wystarczyć wobec agenta, który samodzielnie modyfikuje kod i strategię w trakcie ataku.
Sysdig zaznacza, że wciąż nie ma pewności co do skali zjawiska, ponieważ firma nie potrafiła zidentyfikować konkretnego modelu językowego napędzającego agenta ani uzyskać wglądu w jego prompt systemowy. To utrudnia ocenę, czy podobne kampanie już trwają gdzie indziej niepostrzeżenie.


