Сообщается, что ИИ-агент самостоятельно провел целую атаку программ-вымогателей.
Исследователи в области кибербезопасности утверждают, что они задокументировали то, что может быть первой атакой программ-вымогателей, выполненной почти полностью автономным ИИ-агентом, что знаменует собой значительный сдвиг в том, как кибератаки могут проводиться в будущем. Согласно данным облачной безопасности компании Sysdig, они обнаружили операцию программ-вымогателей под названием JadePuffer, которая, похоже, полагалась на агента большого языкового моделирования (LLM), чтобы выполнить почти каждую стадию атаки без постоянного человеческого вмешательства.
Если это подтвердится, инцидент предполагает, что ИИ выходит за рамки написания вредоносного кода и начинает активно планировать, адаптироваться и выполнять кибератаки в реальном времени.
JadePuffer адаптировался к препятствиям так же, как и человек-хакер
Согласно выводам Sysdig, JadePuffer начал с эксплуатации уязвимости CVE-2025-3248, уязвимости удаленного выполнения кода в Langflow, открытом фреймворке, используемом для создания приложений на базе LLM. Уязвимость, исправленная в апреле 2025 года, позже была добавлена в список уязвимостей, известных как эксплуатируемые в дикой природе, Агентством кибербезопасности и безопасности инфраструктуры США (CISA).
Как только он попал в систему, ИИ-агент, как сообщается, выполнил полную цепочку атак, которую исследователи безопасности обычно ассоциируют с опытными человеческими операторами. Он собрал информацию о хосте, искал учетные данные и конфиденциальные файлы, извлекал облачные секреты и картировал ресурсы хранения, прежде чем переместиться по инфраструктуре жертвы.
Что выделялось, так это не просто автоматизация – это была адаптивность.
Согласно отчету Sysdig, исследователи наблюдали, как ИИ-агент динамически реагировал, когда определенные команды не срабатывали. В одном случае вредоносное ПО столкнулось с неожиданным XML-ответом при запросе хранилища объектов MinIO. Вместо того чтобы потерпеть неудачу, агент изменил свою логику парсинга и повторил попытку, используя другой подход. Исследователи также задокументировали неудачную попытку входа, которая была автоматически исправлена в течение 31 секунды, без необходимости в человеческом вмешательстве.
Позже ИИ установил постоянство, создав запланированные задания cron, прежде чем переключиться на сервер производства, работающий на Alibaba Nacos, где он использовал CVE-2021-29441 для создания поддельных учетных записей администратора. В конечном итоге он зашифровал 1,342 записи конфигурации Nacos, удалил оригинальные данные и заменил их запиской с требованием выкупа, требующей оплату в биткойнах.
Интересно, что исследователи нашли несколько признаков, указывающих на то, что операция была сгенерирована ИИ. Вредоносный код содержал необычно подробные комментарии на естественном языке, объясняющие его собственное рассуждение, в то время как записка с требованием выкупа ссылалась на биткойн-кошелек, который обычно используется в качестве примера в документации, а не на подлинный адрес для оплаты. Sysdig также считает, что вредоносное ПО, вероятно, использовало AES-128 в режиме ECB, несмотря на утверждение о шифровании AES-256.
Выводы приходят в то время, когда эксперты по кибербезопасности все чаще предупреждают о появлении агентного ИИ, где ИИ-системы могут самостоятельно планировать и выполнять сложные задачи, а не просто реагировать на запросы. Хотя JadePuffer все еще использовал известные уязвимости, а не изобретал новые методы атак, способность автономно выполнять разведку, эскалацию привилегий, постоянство и развертывание программ-вымогателей представляет собой заметную эскалацию возможностей наступательного ИИ.
Sysdig утверждает, что инцидент демонстрирует, что «агентные угрозы» фактически появились, что потенциально снижает техническую экспертизу, необходимую для запуска сложных кибератак. В то же время исследователи отмечают, что атаки, сгенерированные ИИ, также могут оставлять отличительные поведенческие паттерны и характеристики кода, которые защитники могут использовать для создания новых методов обнаружения.
Для организаций отчет служит еще одним напоминанием о том, что исправление систем, доступных из интернета, и обеспечение безопасности облачных учетных данных остаются важными – даже когда сами атакующие начинают меняться.
Другие статьи
Сообщается, что ИИ-агент самостоятельно провел целую атаку программ-вымогателей.
Исследователи в области безопасности сообщают, что автономный ИИ-агент провел полноценную атаку программ-вымогателей, адаптируясь к сбоям и выполняя вторжение с минимальным вмешательством человека.
