Первая атака программы-вымогателя с использованием ИИ всё же потребовала участия человека
Исследователи в области кибербезопасности из Sysdig задокументировали первый известный случай, когда ИИ-агент самостоятельно выполнил атаку программы-вымогателя, но человек всё ещё был необходим для настройки инфраструктуры и выбора жертвы.

На прошлой неделе исследователи Sysdig сообщили о первом задокументированном случае «агентного вымогателя», получившего название JadePuffer, в котором ИИ-агент, а не человек, выполнил техническую часть кибератаки от начала до конца. Агент взломал уязвимый сервер, украл учётные данные, перемещался по сети жертвы, зашифровал файлы и даже написал собственную записку с требованием выкупа, адаптируясь к препятствиям.
Однако в интервью CyberScoop Майкл Кларк, старший директор по исследованию угроз Sysdig, уточнил, что человек всё ещё был вовлечён, но не в техническое выполнение. «Человек всё ещё настраивал и направлял операцию, обеспечивал инфраструктуру, сервер управления и контроля, промежуточный сервер для украденных данных и выбирал жертву», — сказал Кларк. Учётные данные, использованные для взлома базы данных жертвы, были получены отдельно в результате предыдущей компрометации, а не самим ИИ-агентом.
Технические детали атаки остаются заметными. Агент проник через известную уязвимость в Langflow (популярном инструменте с открытым исходным кодом для создания LLM-приложений), затем перешёл на рабочий сервер MySQL и использовал ещё одну известную уязвимость для получения прав администратора. Он зашифровал более 1300 записей конфигурации, оставил собственноручно написанную записку с требованием выкупа и биткоин-адрес для оплаты. Sysdig не раскрыл, кто был жертвой.
Скорость атаки была впечатляющей: агент исправил неудачный вход в систему за 31 секунду, комментируя свои рассуждения в комментариях к коду на естественном языке.
Кларк пояснил, что ключи нескольких моделей (OpenAI, Anthropic, DeepSeek, Gemini) были украдены, но это не означает, что они использовались. «Агент просканировал хост Langflow на предмет всего ценного — ключей API провайдеров, облачных учётных данных, криптовалютных кошельков и конфигураций баз данных — и эти ключи были частью добычи», — сказал он. Sysdig не смог идентифицировать конкретную модель, управлявшую агентом. Исследователь Microsoft Джефф Макдональд полагает, что, возможно, использовалась модель с открытым весом, лишённая защиты, основываясь на своём опыте red-teaming.
Хотя Sysdig ещё не видел повторения этой же операции против других жертв, Кларк ожидает, что это изменится, учитывая дешевизну работы агента.


