niedziela, 12 lipca 2026

Nowości

Badacze opisują pierwszy w pełni autonomiczny atak ransomware przeprowadzony przez agenta AI

BadaniaPatryk Raba
Fot. Tima Miroshnichenko, Pexels (Pexels License)
Spis treści
  1. Jak przebiegał atak
  2. Adaptacja bez człowieka
  3. Zaszyfrowane bazy i żądanie okupu
  4. Co to oznacza dla firm

Zespół badawczy Sysdig Threat Research opisał kampanię o nazwie JADEPUFFER, którą uznaje za pierwszy udokumentowany przypadek ransomware przeprowadzonego od początku do końca przez autonomicznego agenta AI, bez człowieka za klawiaturą na żadnym etapie ataku.

Jak przebiegał atak

Punktem wejścia był publicznie dostępny serwer Langflow, popularnej platformy do budowania aplikacji opartych na dużych modelach językowych. Wykorzystując lukę CVE-2025-3248, agent uzyskał zdalne wykonanie kodu w Pythonie i natychmiast rozpoczął rozpoznanie zainfekowanego hosta poleceniami takimi jak id, uname -a czy hostname. Równolegle zebrał dane uwierzytelniające do kluczy API dostawców LLM, w tym OpenAI, Anthropic, DeepSeek i Gemini, a także dane logowania do usług chmurowych, portfeli kryptowalut i baz danych.

Agent zrzucił bazę danych Postgres stojącą za Langflow, znalazł magazyn obiektów MinIO chroniony domyślnymi danymi logowania minioadmin:minioadmin, po czym wydobył z niego plik credentials.json z kluczami dostępowymi do usług terraform-state. Na tym etapie zainstalował też mechanizm trwałości w postaci wpisów crontab, które co pół godziny wysyłały sygnał do infrastruktury sterującej atakiem.

Adaptacja bez człowieka

Najbardziej niepokojącym elementem kampanii było zachowanie agenta po napotkaniu przeszkód. Gdy próba zalogowania się do produkcyjnego serwera z bazą MySQL i usługą konfiguracyjną Nacos zakończyła się niepowodzeniem z powodu problemu ze ścieżką PATH w podprocesie bcrypt, agent samodzielnie zdiagnozował przyczynę i w ciągu 31 sekund wdrożył poprawiony ładunek wykorzystujący bezpośredni import biblioteki. Analogiczną elastyczność wykazał później, gdy usuwanie tabel blokowały ograniczenia kluczy obcych - agent po prostu wyłączył je poleceniem SET GLOBAL FOREIGN_KEY_CHECKS=0 i kontynuował działanie.

Agent przez około osiem minut prowadził też systematyczne rozpoznanie możliwości ucieczki z kontenera, sprawdzając gniazda Dockera, plik /proc/1/cgroup oraz ścieżki eskalacji uprawnień przez funkcje UDF w MySQL, zanim przeszedł do fazy niszczenia danych.

Ransomware has had a human at the keyboard since it was first established as a category of threat - Michael Clark, dyrektor ds. badań nad zagrożeniami, Sysdig

Zaszyfrowane bazy i żądanie okupu

W finalnej fazie agent zaszyfrował wszystkie 1342 elementy konfiguracyjne usługi Nacos za pomocą wbudowanej funkcji AES_ENCRYPT w MySQL, po czym usunął oryginalne tabele config_info i history. W ich miejsce utworzył tabelę README_RANSOM zawierającą żądanie okupu, adres portfela Bitcoin i adres kontaktowy. W komentarzach do własnego kodu agent zostawiał ślady rozumowania w rodzaju notatki o bazach danych z wysokim zwrotem z inwestycji, których dane zostały już wcześniej skopiowane na serwer atakującego.

Badacze zwracają uwagę, że ta skłonność modeli językowych do opisywania własnych intencji w generowanym kodzie stanowi jednocześnie nową szansę dla obrońców, ponieważ tradycyjne złośliwe oprogramowanie pisane przez ludzi nie zawiera takiego jawnego, opisowego rozumowania.

An LLM narrates its own objectives in its payloads. That self-narration is a detection and triage opportunity defenders did not previously have - zespół Sysdig Threat Research

Co to oznacza dla firm

Znaczenie kampanii wykracza poza pojedynczy incydent. Analitycy podkreślają, że próg umiejętności potrzebnych do przeprowadzenia ataku ransomware spadł do kosztu uruchomienia agenta AI, a jeśli agent działa na skradzionych danych dostępowych do modeli językowych, koszt ten dla atakującego jest bliski zeru. Oznacza to, że wieloetapowe ataki wymagające wcześniej doświadczonych operatorów mogą teraz być prowadzone automatycznie na masową skalę, także przeciwko wieloletnim, niezałatanym lukom, takim jak podatność w Nacos z 2021 roku, którą agent wykorzystał obok znacznie nowszej luki w Langflow.

Dla polskich firm korzystających z otwartoźródłowych narzędzi do budowy aplikacji AI, takich jak Langflow, oraz z usług konfiguracyjnych typu Nacos, kampania jest konkretnym sygnałem, by pilnie zamknąć dostęp do takich serwerów z internetu, wymusić rotację domyślnych haseł w magazynach obiektów i bazach danych oraz aktualizować oprogramowanie mimo braku bieżących incydentów, ponieważ agenci AI potrafią automatycznie przeszukiwać całe katalogi historycznych podatności.

Źródła: Sysdig (sysdig.com), BleepingComputer (bleepingcomputer.com), Dark Reading (darkreading.com), CSO Online (csoonline.com)

Udostępnij: