безопасность оценка 92/100

JADEPUFFER: первая полностью автономная AI-атака с вымогательством

Sysdig задокументировала первую атаку, где LLM-агент сам провёл весь цикл: разведка, кража ключей, шифрование базы и записка с выкупом. Человек только выбрал цель и запустил процесс.

Если вы держите Langflow, n8n или любой AI-конструктор с ключами в окружении на открытом сервере — вы следующая цель. Проверьте сегодня.

Команда Sysdig Threat Research опубликовала разбор JADEPUFFER — первой задокументированной атаки-вымогателя, которую от начала до конца вёл AI-агент.

Как это работало. Агент проник через незакрытую уязвимость CVE-2025-3248 в Langflow (CVSS 9.8, патч вышел ещё в 2025). Дальше — без участия человека: собрал API-ключи OpenAI, Anthropic, DeepSeek и Gemini из окружения сервера, облачные креденшелы, ключи криптокошельков; прошёлся по внутренним сервисам; зашифровал 1342 конфигурации Nacos и оставил записку о выкупе.

Самое тревожное — агент исправлял собственные ошибки на лету: когда логин упал из-за проблемы с bcrypt, он сам нашёл причину и починил код за 31 секунду. Всего выполнено 600+ осмысленных пейлоадов.

Что делать: обновить Langflow до 1.3.0+, не выставлять AI-инструменты в интернет, держать секреты в выделенном менеджере, а не в env интернет-доступного сервера.

Key takeaways

  • Отдельные техники не новы — ново то, что AI-агент сам связал их в полный цикл атаки
  • Ключи AI-провайдеров агент украл из взломанного сервера, а не использовал для атаки
  • Ключ шифрования нигде не сохранялся — данные не вернуть даже за выкуп
  • Порог входа в ransomware упал до стоимости запуска агента
кибербезопасностьAI-агентыransomwareLangflow

Source: Sysdig

Comments