AI-агент провел первую атакy программ-вымогателей от начала до конца
Вымогатели всегда нуждались в квалифицированном человеке где-то в процессе. Безопасная компания Sysdig утверждает, что это только что изменилось. Она задокументировала то, что называет первой атакой-вымогателем, выполненной от начала до конца агентом ИИ, без человека за клавиатурой.
Исследователи назвали злоумышленника JADEPUFFER и утверждают, что большая языковая модель справилась с этой задачей полностью. Она взломала систему, украла учетные данные, углубилась в сеть, установила заднюю дверь, а затем зашифровала и уничтожила производственную базу данных компании. Команда по исследованию угроз Sysdig изложила дело в подробном отчете.
JADEPUFFER проникла через старую, скучную дверь. Она использовала уязвимость годичной давности, которая уже была исправлена, в Langflow, инструменте с открытым исходным кодом для создания приложений ИИ. Эта ошибка позволяет любому, кто может получить доступ к серверу, запускать на нем код.
Множество коробок Langflow все еще остаются открытыми в интернете. Они часто содержат ключи API и учетные данные облака для сервисов, к которым они подключаются. Это делает их мягкой первой целью.
Машина за клавиатурой
💜 технологий ЕС Последние слухи из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Оказавшись внутри, агент работал быстро. Он просканировал хост на наличие секретов: ключи поставщиков ИИ, облачные логины, криптокошельки и пароли к базам данных. Он даже взломал сервер хранения, который все еще использовал заводской пароль.
Агент настроил способ возврата, отправляя запрос на сервер злоумышленника каждые полчаса. Затем он переключился на настоящую награду, отдельный сервер базы данных, и вошел как root. Откуда взялись эти учетные данные root, Sysdig не может сказать.
Оттуда он захватил систему конфигурации сервера, используя ошибку 2021 года и ключ подписи по умолчанию, который никто никогда не менял. Он создал свою собственную учетную запись администратора. Затем он зашифровал 1342 настройки, стер оригиналы и оставил записку с требованием выкупа в биткойнах.
Выкуп без ключа
Вот жестокий поворот. Агент сгенерировал случайный ключ шифрования, вывел его на экран один раз и никогда не сохранил и не отправил. Ключа для передачи нет, так что даже если жертва заплатит, ничего не вернется.
Агент затем пошел дальше, удаляя целые базы данных. Он заявил в комментарии в своем коде, что уже скопировал данные в другое место. Sysdig не нашел никаких признаков того, что это произошло.
Как исследователи узнали, что машиной управлял ИИ? Сам код выдал это. Пейлоады содержали заметки на простом английском, объясняющие каждый шаг, текущий комментарий, который человеческий хакер никогда не утруждает себя писать, но модель производит по умолчанию.
Агент также исправлял свои ошибки на скорости машины. В одном случае, сказал директор по исследованию угроз Майкл Кларк, он прошел от неудачного входа в систему к правильному, многоэтапному исправлению за 31 секунду. Sysdig насчитал более 600 отдельных, целенаправленных действий.
Пол только что упал
Ни одно из отдельных действий не было умным или новым. Суть в том, что модель сшила их в полноценную атаку самостоятельно. «Уровень навыков для запуска программ-вымогателей упал до того, сколько стоит запустить агента», - написал Кларк.
Запустите этого агента на украденных учетных данных, и стоимость упадет почти до нуля. Это та же логика автоматизации, которая сейчас переворачивает все, от экономики помощников по программированию до волны злонамеренного кода браузера, написанного ИИ, и свежих кампаний банковских троянов.
Есть небольшая порция хороших новостей. Поскольку агент рассказывает о своих намерениях, защитники получают сигнал, которого у них никогда не было раньше. Это подстегивает рынок стартапов, стремящихся обеспечить безопасность агентов ИИ, а также усиливает попытки обратить ИИ против злоумышленников и выявить, когда пользователь учетной записи не тот, за кого себя выдает.
Исправления здесь будут звучать знакомо: исправьте уязвимость, прекратите открывать администраторские системы и держите облачные ключи подальше от машин, доступных в интернете. Sysdig называет JADEPUFFER предупреждающим знаком, а не кризисом. Но ожидает, что объем вырастет по мере взросления агентных инструментов.
Другие статьи
AI-агент провел первую атакy программ-вымогателей от начала до конца
Sysdig сообщает, что зафиксировала первую атаку программ-вымогателей, полностью осуществленную ИИ-агентом. Он проник в систему, стер базу данных и оставил выкуп, который жертва не может выплатить.
