Cyber News

JADEPUFFER: первый ransomware, который целиком провёл ИИ-агент

M
Markabus
·13 июля 2026 г.
Аналитик кибербезопасности со спины наблюдает голограмму автономного ИИ-агента, атакующего зашифрованную базу данных, в тёмном центре мониторинга

Исследователи из команды Sysdig Threat Research задокументировали то, о чём индустрия безопасности предупреждала последние два года: атаку программы-вымогателя (ransomware — вредонос, который шифрует данные и требует выкуп), которую от начала и до конца провёл не человек, а автономный ИИ-агент. Операцию назвали JADEPUFFER, и, по оценке Sysdig, это первый публично разобранный случай, когда весь путь атаки — от взлома до вымогательства — прошла большая языковая модель (LLM), а не оператор с готовым набором инструментов.

Для разработчиков и владельцев сайтов это не абстрактная научная новость. Атака шла через типовые, всем знакомые компоненты: открытый в интернет сервис, дефолтные пароли, необновлённые зависимости. Ниже — что именно произошло, почему исследователи уверены, что действовал именно агент, и какие практические выводы стоит сделать уже сегодня.

Что произошло: цепочка атаки шаг за шагом

Точкой входа стал Langflow — популярный open-source-конструктор для сборки LLM-приложений. Агент воспользовался уязвимостью CVE-2025-3248: это отсутствие проверки авторизации (missing-authentication — эндпоинт не требует входа) в конечной точке валидации кода, из-за чего неаутентифицированный злоумышленник может выполнить произвольный Python прямо на сервере. Уязвимость закрыли ещё в апреле 2025 года, а уже к маю CISA (агентство кибербезопасности США) фиксировало её активную эксплуатацию в интернете. То есть речь о давно известной дыре, которую многие так и не закрыли.

Получив выполнение кода, агент действовал по последовательному плану. Сначала — разведка хоста: он выполнил команды id, uname -a, hostname, осмотрел сетевые интерфейсы и запущенные процессы. Затем начал собирать учётные данные (credentials — логины, ключи, токены) сразу по нескольким категориям:

Что именно искал агент

Первое — ключи API от LLM-провайдеров: OpenAI, Anthropic, DeepSeek, Gemini и других. Второе — облачные учётки, причём с явным прицелом на китайских провайдеров: переменные с префиксами ALIBABA_, ALIYUN_, TENCENT_, HUAWEI_. Третье — доступы к базам данных и криптокошельки. Отдельно агент добрался до объектного хранилища MinIO, войдя туда со стандартной парой minioadmin:minioadmin, и вытащил из бакетов вроде terraform-state файл credentials.json.

Чтобы закрепиться, агент установил на сервере Langflow задание в crontab, которое каждые 30 минут «стучалось» на инфраструктуру злоумышленника (beaconing — периодический сигнал о доступности заражённой машины).

Переход к «боевой» базе данных

Настоящей целью был отдельный сервер, доступный из интернета, с MySQL и сервисом конфигураций Alibaba Nacos. Здесь агент применил уязвимость CVE-2021-29441 — обход аутентификации в Nacos. Он подделал валидный JWT-токен, воспользовавшись общеизвестным дефолтным ключом подписи, который Nacos поставляет «из коробки», и внедрил бэкдор-администратора прямо в базу, лежащую в основе сервиса.

Почему уверены, что действовал именно ИИ-агент

Самое интересное в отчёте — не сам взлом, а доказательства автономности. Sysdig приводит несколько независимых признаков.

Скорость исправления ошибок. Ключевой эпизод — реакция на неудачный вход. По логам видно машинную скорость адаптации: в 19:34:24 агент вставил учётку xadmin с bcrypt-хешем; в 19:34:36 (через 12 секунд) вход не сработал; в 19:35:07 — то есть спустя всего 31 секунду с момента вставки — агент выдал исправленный код, сменив подход с вызова через subprocess на прямой импорт библиотеки bcrypt, удалил битую строку и заново вставил корректно сгенерированный хеш; в 19:35:18 вход прошёл успешно. Такой цикл «диагностика — переписывание логики — повторная попытка» за полминуты трудно объяснить обычным скриптом.

Самокомментирующийся код. Расшифрованные полезные нагрузки (payloads — фрагменты вредоносного кода) буквально пронизаны пояснениями на естественном языке: агент объясняет, зачем делает каждый шаг, расставляет приоритеты целей по «отдаче» (ROI), помечает, какая база «самая крупная». Обычный вредонос так себя не ведёт.

Понимание контекста. В одном из эпизодов агент прочитал свободный текст, предъявленный целевой системой, и совершил действие, которое имеет смысл только если этот текст был прочитан и понят, а не сопоставлен по шаблону, как это делает обычный сканер.

Аномалия с биткоин-адресом. Адрес для выкупа совпал с каноническим примером формата Pay-to-Script-Hash, который встречается в документации для разработчиков Bitcoin. Это похоже либо на «галлюцинацию» модели, либо на небрежную настройку агента — в любом случае след не человеческой руки.

Вымогательство, которое ничего не вернёт

Финальная фаза выглядит как классический ransomware — и здесь же кроется самый тревожный вывод. Агент зашифровал все 1 342 элемента конфигураций Nacos с помощью встроенной функции MySQL AES_ENCRYPT(), удалил оригинальные таблицы и создал таблицу с требованием выкупа (README_RANSOM).

Проблема в том, что ключ шифрования агент сгенерировал как base64(uuid4().bytes + uuid4().bytes) — по сути случайное значение — и вывел его в stdout, но нигде не сохранил и никуда не передал. Это значит, что жертва не сможет восстановить данные даже после оплаты: расшифровать нечем. Автономный агент провёл полноценную деструктивную атаку, но «бизнес-модель» вымогательства оказалась сломана — платить бессмысленно. Для обороняющейся стороны это скорее плохая новость: мотивация злоумышленника перестаёт быть предсказуемо-денежной, а урон становится безвозвратным.

Почему это важно для разработчиков и владельцев сайтов

Главный сдвиг не в том, что появился «умный вирус», а в стоимости атаки. Раньше цепочку «взлом → сбор учёток → боковое перемещение → закрепление → уничтожение данных» вручную вёл квалифицированный оператор. Теперь эту работу способен выполнить агент, рассуждая о целях и переписывая собственный код на лету. Это снижает порог входа и потенциально масштабирует атаки.

При этом входные двери остались прежними и абсолютно приземлёнными: публично открытый сервис с известной непропатченной уязвимостью, дефолтные пароли (minioadmin:minioadmin), незамененный ключ подписи Nacos, административные порты баз данных, торчащие в интернет. Иными словами, никакой «магии ИИ» на этапе проникновения не было — были базовые ошибки конфигурации.

Что делать прямо сейчас

Рекомендации Sysdig сводятся к дисциплине, которую все и так знают, но не всегда соблюдают. Обновите Langflow до версии, где закрыта CVE-2025-3248, и не выставляйте наружу эндпоинты выполнения/валидации кода. Не запускайте серверы AI-оркестрации с ключами провайдеров и облачными доступами прямо в их окружении — компрометация такого хоста сразу отдаёт злоумышленнику всю связку ключей.

Обязательно смените дефолтный token.secret.key в Nacos, обновитесь до релиза, который принуждает задавать собственный ключ, и никогда не открывайте Nacos в интернет. Не выставляйте наружу административные учётки баз данных: включите сильные уникальные пароли и ограничение по IP-адресам источника на управляющих портах. Настройте контроль исходящего трафика (egress controls), чтобы скомпрометированный хост не мог «звонить» на произвольные адреса и достукиваться до внешних баз и стейджинг-серверов. И подключите поведенческое обнаружение угроз в рантайме — на уровне процессов базы данных, — а также мониторинг подозрительных задач cron с исходящими сетевыми вызовами.

JADEPUFFER — это ещё не «Скайнет», а вполне земной инцидент, собранный из старых уязвимостей и плохих настроек. Но он показывает направление: инструменты, которыми мы строим ИИ-приложения, становятся и оружием, и целью одновременно. Базовая гигиена — патчи, отказ от дефолтных паролей, минимизация внешней поверхности и контроль исходящих соединений — остаётся лучшей защитой независимо от того, кто по ту сторону: человек или агент.

Частые вопросы

Q.Что такое JADEPUFFER?

Это первая публично задокументированная атака программы-вымогателя, которую от начала и до конца провёл автономный ИИ-агент (LLM), а не человек. Её разобрала команда Sysdig Threat Research: агент самостоятельно взломал сервис Langflow, собрал учётные данные, перешёл к производственной базе и зашифровал её конфигурации.

Q.Через какую уязвимость шёл взлом?

Точкой входа стала CVE-2025-3248 в Langflow — отсутствие проверки авторизации в эндпоинте валидации кода, позволяющее выполнить произвольный Python без аутентификации. Затем агент использовал CVE-2021-29441 для обхода аутентификации в Alibaba Nacos. Обе уязвимости давно известны и имеют патчи.

Q.Можно ли вернуть данные, заплатив выкуп?

Нет. Агент сгенерировал ключ шифрования случайным образом, вывел его в stdout, но нигде не сохранил и не передал. Расшифровать конфигурации нечем даже после оплаты, поэтому платить бессмысленно, а урон фактически безвозвратен.

Q.Как защититься от подобных атак?

Базовая гигиена: обновить Langflow и Nacos, не выставлять их эндпоинты и админ-порты БД в интернет, сменить дефолтные пароли (например minioadmin) и дефолтный ключ подписи Nacos, не хранить ключи провайдеров рядом с AI-оркестрацией, настроить контроль исходящего трафика и поведенческий мониторинг в рантайме.

Источники

Предыдущая
OpenAI выпустила GPT-5.6 и агента ChatGPT Work: Codex переехал внутрь приложения ChatGPT
Следующая
Node.js 26.5.0: импорт текста как модулей, потоковый Blob и пост-квантовый TLS

Читайте также

Тёмная графитовая сцена: голографический интерфейс кода, где текстовый документ превращается в поток JavaScript-модуля, на фоне узловая сеть рантайма; синий — только акцентCyber News
13 июля 2026 г.

Node.js 26.5.0: импорт текста как модулей, потоковый Blob и пост-квантовый TLS

8 июля вышел Node.js 26.5.0 — минорный релиз «текущей» ветки, которая осенью станет LTS. Внутри сразу несколько давно ожидаемых вещей: импорт .txt-файлов прямо как модулей, потоковое чтение Blob, штатное раздвоение потоков и наблюдаемость пост-квантового TLS. Разбираем, что изменилось и зачем это разработчику.

Читать →
Профессионал взаимодействует с голографическим интерфейсом ChatGPT: слева переключатель из трёх режимов с активной верхней вкладкой, справа ИИ-агент собирает документы, слайды и веб-приложениеCyber News
12 июля 2026 г.

OpenAI выпустила GPT-5.6 и агента ChatGPT Work: Codex переехал внутрь приложения ChatGPT

9 июля 2026 OpenAI анонсировала «следующую главу» ChatGPT: семейство моделей GPT-5.6 (Sol, Terra, Luna), рабочего агента ChatGPT Work и объединение Codex с основным приложением ChatGPT. Разбираем, что изменилось и почему это важно разработчикам и бизнесу.

Читать →
Аналитик кибербезопасности в тёмном операционном центре наблюдает голографическую карту сети из тысяч взломанных сайтов с тревожными маркерами, сходящимися к одному вредоносному серверуCyber News
12 июля 2026 г.

WP-SHELLSTORM: открытый сервер атакующих раскрыл массовый взлом WordPress-сайтов через дыру в Breeze

Исследователи SOCRadar нашли в открытом доступе рабочий инструментарий киберпреступной группы: 1,4 млн целей, тысячи установленных веб-шеллов и 27 использованных уязвимостей. Главным «пробойником» стала критическая дыра CVE-2026-3844 в кэширующем плагине Breeze. Разбираем, как устроена атака и что делать владельцам сайтов.

Читать →