Nowości
Ransomware JADEPUFFER pierwszym atakiem prowadzonym w całości przez agenta AI
Posłuchaj tego artykułu

Firma Sysdig opisała atak, w którym samodzielny agent oparty na dużym modelu językowym przeprowadził cały łańcuch włamania, od wykorzystania luki w Langflow po zaszyfrowanie bazy danych i żądanie okupu, bez udziału człowieka na żadnym etapie.
Spis treści
Zespół badawczy firmy Sysdig ujawnił szczegóły operacji o kryptonimie JADEPUFFER, którą określa jako pierwszy udokumentowany przypadek ransomware prowadzonego od początku do końca przez agenta sztucznej inteligencji. Od rekonesansu, przez kradzież danych logowania i ruch boczny w sieci, aż po zaszyfrowanie bazy danych i wystawienie noty z żądaniem okupu, każdy krok wykonał autonomiczny system oparty na dużym modelu językowym.
Jak działał atak
Punktem wejścia była publicznie dostępna instancja Langflow, popularnego narzędzia do budowania przepływów AI, podatna na lukę CVE-2025-3248. Agent wykorzystał ją do zdalnego wykonania kodu, po czym przeprowadził rekonesans hosta, sprawdzając użytkowników, procesy i interfejsy sieciowe, a następnie przeszukał zmienne środowiskowe i pliki konfiguracyjne w poszukiwaniu kluczy API do usług takich jak OpenAI, Anthropic czy Gemini, danych dostępowych do chmur AWS, GCP i Azure oraz portfeli kryptowalut.
Z wykradzionych poświadczeń agent przeszedł do ruchu bocznego, docierając do produkcyjnego serwera z bazą MySQL i usługą Nacos od Alibaby. Tam wykorzystał znaną od 2020 roku lukę w domyślnym kluczu podpisującym tokeny JWT, co pozwoliło mu sfałszować tożsamość administratora i wstrzyknąć własny backdoor. Cała ta sekwencja, od pierwszego dostępu po pełną kontrolę nad bazą danych, przebiegła bez jakiejkolwiek interwencji człowieka.
Dowody na autonomię AI
Badacze Sysdig wskazują, że sam kod ataku zdradzał swoje pochodzenie. Payloady zawierały opisowe komentarze w języku naturalnym, tłumaczące dlaczego wybrano dany cel czy jaka jest szacowana wartość skradzionych danych. Jeden z fragmentów kodu opisywał bazę jako priorytetową do zaszyfrowania, ponieważ jej zawartość została już wcześniej skopiowana na serwer atakującego.
To pierwszy udokumentowany przypadek ransomware sterowanego agentem: kompletna operacja wymuszenia przeprowadzona od początku do końca przez duży model językowy - zespół Sysdig Threat Research Team
Najbardziej wymowny dowód dotyczy szybkości reakcji na problem. Gdy próba logowania na konto administracyjne zakończyła się niepowodzeniem o 19:34:36 czasu UTC, agent w ciągu 31 sekund przeanalizował przyczynę błędu i wdrożył poprawiony, wieloetapowy sposób obejścia zabezpieczenia. Taka szybkość adaptacji jest charakterystyczna dla systemu, który generuje i testuje kod w czasie rzeczywistym, a nie dla człowieka ręcznie wpisującego kolejne komendy.
Okup bez możliwości odzyskania danych
Po zaszyfrowaniu 1342 wpisów konfiguracyjnych w usłudze Nacos agent usunął oryginały i pozostawił notę z żądaniem okupu, deklarującą użycie szyfrowania AES-256. W rzeczywistości zastosowano słabszy wariant AES-128, a klucz wygenerowano jako losowy ciąg bajtów, który wypisano tylko na ekran w trakcie działania skryptu, nigdy nie zapisując go na dysku ani nie przesyłając do infrastruktury atakującego. Oznacza to, że nawet gdyby ofiara zapłaciła okup, odzyskanie danych byłoby niemożliwe. Podany w nocie adres portfela Bitcoin okazał się zresztą przykładowym adresem z oficjalnej dokumentacji Bitcoina, co sugeruje, że atakujący nie przygotował nawet realnej infrastruktury do przyjmowania płatności.
Próg wejścia dla prowadzenia ataków ransomware spadł do kosztu uruchomienia agenta, a jeśli ten agent działa na skradzionych danych dostępowych, koszt dla atakującego jest bliski zeru - zespół Sysdig Threat Research Team
Co to oznacza dla branży
Dla firm korzystających z narzędzi do budowy agentów AI, takich jak Langflow, JADEPUFFER jest ostrzeżeniem, że publicznie dostępne instancje takich systemów stają się realnym celem ataków, a luki w nich są wykorzystywane szybciej niż wcześniej. Sysdig podkreśla, że zjawisko LLMjackingu, czyli wykorzystywania skradzionych kluczy API do modeli językowych, sprawia, że koszt uruchomienia w pełni autonomicznego ataku spada praktycznie do zera.
Dla polskich firm wdrażających agentowe rozwiązania AI w środowiskach produkcyjnych oznacza to konieczność traktowania tych narzędzi jak każdej innej publicznie eksponowanej infrastruktury, z regularnym łataniem, ograniczaniem dostępu i monitorowaniem nietypowej aktywności. JADEPUFFER pokazuje, że atak może przebiec od włamania do pełnego wymuszenia w ciągu kilkudziesięciu minut, bez etapu, na którym człowiek mógłby przerwać operację.
Źródła: analiza Sysdig Threat Research Team (sysdig.com), BleepingComputer (bleepingcomputer.com), Security Affairs (securityaffairs.com).
