Nowości
Ransomware JadePuffer przeprowadzone przez agenta AI bez udziału człowieka
Posłuchaj tego artykułu
Badacze z Sysdig udokumentowali pierwszy w pełni autonomiczny atak ransomware, w którym agent AI samodzielnie włamał się do sieci, wykradł dane i zaszyfrował bazy danych bez udziału człowieka przy klawiaturze.
Zespół badawczy firmy Sysdig opisał operację ransomware o nazwie JadePuffer, w której cały łańcuch ataku, od pierwszego włamania po szyfrowanie danych i żądanie okupu, przeprowadził samodzielnie agent oparty na dużym modelu językowym. To pierwszy udokumentowany przypadek w pełni zautomatyzowanego ataku ransomware bez człowieka nadzorującego poszczególne kroki na bieżąco.
Punktem wejścia była podatność w Langflow, popularnym otwartoźródłowym narzędziu do budowania aplikacji opartych na modelach językowych. CVE-2025-3248 pozwala na nieautoryzowane zdalne wykonanie kodu poprzez endpoint walidacji kodu. Agent wykorzystał tę lukę, by uzyskać pierwszy dostęp do systemu ofiary, a następnie sam zaplanował kolejne kroki operacji.
Jak działał agent
Po uzyskaniu dostępu agent przeprowadził rekonesans, zrzucił bazy danych PostgreSQL, przeszukał zasoby przechowywania MinIO i ustanowił trwałość działania poprzez zadania cron. Następnie, wykorzystując wykradzione dane uwierzytelniające, przeniósł się na serwer MySQL obsługujący Alibaba Nacos, gdzie wykorzystał lukę CVE-2021-29441 omijającą uwierzytelnianie.
Najbardziej niepokojącym elementem operacji było zachowanie adaptacyjne agenta. Według badaczy Sysdig, sztuczna inteligencja reagowała na niepowodzenia tak, jak zrobiłby to doświadczony operator ręcznie prowadzący atak, poprawiając parametry i ponawiając próby w czasie rzeczywistym.
Operacja adaptowała się w czasie rzeczywistym, ponawiając nieudane kroki z udoskonalonymi parametrami. W jednej sekwencji agent przeszedł od nieudanego logowania do działającej poprawki w 31 sekund - zespół Sysdig Threat Research Team
Zapis co do sekundy
Badacze zrekonstruowali dokładny przebieg jednego z etapów ataku na podstawie logów. Nieudane logowanie do backdoora w Nacos nastąpiło o 19:34:36 UTC, agent zdiagnozował przyczynę o 19:34:48 UTC, wysłał poprawiony ładunek o 19:35:07 UTC, a udane logowanie zanotowano o 19:35:18 UTC. Cała korekta błędu, od wykrycia po naprawę, zajęła mniej niż minutę i przebiegła bez interwencji człowieka.
Ostatecznie agent zaszyfrował 1342 elementy konfiguracyjne usługi Nacos za pomocą funkcji AES_ENCRYPT wbudowanej w MySQL, a następnie usunął oryginalne wersje danych, uniemożliwiając odzyskanie ich bez zapłacenia okupu. W trakcie operacji wykonano ponad 600 odrębnych, celowo zaplanowanych działań.
Nowa kategoria zagrożeń
Badacze bezpieczeństwa mówią o pojawieniu się kategorii tak zwanych agentic threat actors, czyli sprawców ataków opartych na autonomicznych agentach AI. Zdaniem analityków obniża to barierę wejścia dla przestępców, którzy nie muszą już posiadać zaawansowanej wiedzy technicznej, by przeprowadzić wielostopniowy, wieloetapowy atak na infrastrukturę firmy.
Jednocześnie eksperci zwracają uwagę, że ładunki generowane przez modele językowe mają charakterystyczne cechy, takie jak naturalnojęzykowe komentarze, uzasadnienia kolejnych kroków i priorytetyzację celów w stylu przypominającym rozumowanie, a nie typowy dla ludzkich operatorów kod. To może w przyszłości ułatwić wykrywanie tego typu ataków przez systemy bezpieczeństwa.
Znaczenie dla firm w Polsce
Dla polskich działów bezpieczeństwa IT sygnał jest jasny: popularne narzędzia do budowy aplikacji AI, takie jak Langflow, oraz systemy zarządzania konfiguracją, jak Nacos, stają się realnym celem ataków zautomatyzowanych przez agentów AI, a nie tylko ludzkich zespołów przestępczych. Firmy korzystające z otwartoźródłowych frameworków LLM powinny pilnować aktualizacji i łatania znanych podatności, ponieważ agent AI potrafi wykorzystać lukę ujawnioną nawet kilka lat temu, jak w przypadku CVE-2021-29441 z 2021 roku.
Sprawa JadePuffer pokazuje też, że granica między testowaniem bezpieczeństwa przez zespoły red team a rzeczywistymi atakami przestępczymi przy użyciu agentów AI się zaciera. Narzędzia, które miały pomagać programistom automatyzować pracę, w rękach przestępców automatyzują też włamania.
Źródła: JadePuffer: Agentic ransomware for automated database extortion (sysdig.com), JadePuffer ransomware used AI agent to automate entire attack (bleepingcomputer.com)

