Исследователи из команды Sysdig Threat Research задокументировали то, о чём индустрия безопасности предупреждала последние два года: атаку программы-вымогателя (ransomware — вредонос, который шифрует данные и требует выкуп), которую от начала и до конца провёл не человек, а автономный ИИ-агент. Операцию назвали JADEPUFFER, и, по оценке Sysdig, это первый публично разобранный случай, когда весь путь атаки — от взлома до вымогательства — прошла большая языковая модель (LLM), а не оператор с готовым набором инструментов.
Для разработчиков и владельцев сайтов это не абстрактная научная новость. Атака шла через типовые, всем знакомые компоненты: открытый в интернет сервис, дефолтные пароли, необновлённые зависимости. Ниже — что именно произошло, почему исследователи уверены, что действовал именно агент, и какие практические выводы стоит сделать уже сегодня.
Что произошло: цепочка атаки шаг за шагом
Точкой входа стал Langflow — популярный open-source-конструктор для сборки LLM-приложений. Агент воспользовался уязвимостью CVE-2025-3248: это отсутствие проверки авторизации (missing-authentication — эндпоинт не требует входа) в конечной точке валидации кода, из-за чего неаутентифицированный злоумышленник может выполнить произвольный Python прямо на сервере. Уязвимость закрыли ещё в апреле 2025 года, а уже к маю CISA (агентство кибербезопасности США) фиксировало её активную эксплуатацию в интернете. То есть речь о давно известной дыре, которую многие так и не закрыли.
Получив выполнение кода, агент действовал по последовательному плану. Сначала — разведка хоста: он выполнил команды id, uname -a, hostname, осмотрел сетевые интерфейсы и запущенные процессы. Затем начал собирать учётные данные (credentials — логины, ключи, токены) сразу по нескольким категориям:
Что именно искал агент
Первое — ключи API от LLM-провайдеров: OpenAI, Anthropic, DeepSeek, Gemini и других. Второе — облачные учётки, причём с явным прицелом на китайских провайдеров: переменные с префиксами ALIBABA_, ALIYUN_, TENCENT_, HUAWEI_. Третье — доступы к базам данных и криптокошельки. Отдельно агент добрался до объектного хранилища MinIO, войдя туда со стандартной парой minioadmin:minioadmin, и вытащил из бакетов вроде terraform-state файл credentials.json.
Чтобы закрепиться, агент установил на сервере Langflow задание в crontab, которое каждые 30 минут «стучалось» на инфраструктуру злоумышленника (beaconing — периодический сигнал о доступности заражённой машины).
Переход к «боевой» базе данных
Настоящей целью был отдельный сервер, доступный из интернета, с MySQL и сервисом конфигураций Alibaba Nacos. Здесь агент применил уязвимость CVE-2021-29441 — обход аутентификации в Nacos. Он подделал валидный JWT-токен, воспользовавшись общеизвестным дефолтным ключом подписи, который Nacos поставляет «из коробки», и внедрил бэкдор-администратора прямо в базу, лежащую в основе сервиса.
Почему уверены, что действовал именно ИИ-агент
Самое интересное в отчёте — не сам взлом, а доказательства автономности. Sysdig приводит несколько независимых признаков.
Скорость исправления ошибок. Ключевой эпизод — реакция на неудачный вход. По логам видно машинную скорость адаптации: в 19:34:24 агент вставил учётку xadmin с bcrypt-хешем; в 19:34:36 (через 12 секунд) вход не сработал; в 19:35:07 — то есть спустя всего 31 секунду с момента вставки — агент выдал исправленный код, сменив подход с вызова через subprocess на прямой импорт библиотеки bcrypt, удалил битую строку и заново вставил корректно сгенерированный хеш; в 19:35:18 вход прошёл успешно. Такой цикл «диагностика — переписывание логики — повторная попытка» за полминуты трудно объяснить обычным скриптом.
Самокомментирующийся код. Расшифрованные полезные нагрузки (payloads — фрагменты вредоносного кода) буквально пронизаны пояснениями на естественном языке: агент объясняет, зачем делает каждый шаг, расставляет приоритеты целей по «отдаче» (ROI), помечает, какая база «самая крупная». Обычный вредонос так себя не ведёт.
Понимание контекста. В одном из эпизодов агент прочитал свободный текст, предъявленный целевой системой, и совершил действие, которое имеет смысл только если этот текст был прочитан и понят, а не сопоставлен по шаблону, как это делает обычный сканер.
Аномалия с биткоин-адресом. Адрес для выкупа совпал с каноническим примером формата Pay-to-Script-Hash, который встречается в документации для разработчиков Bitcoin. Это похоже либо на «галлюцинацию» модели, либо на небрежную настройку агента — в любом случае след не человеческой руки.
Вымогательство, которое ничего не вернёт
Финальная фаза выглядит как классический ransomware — и здесь же кроется самый тревожный вывод. Агент зашифровал все 1 342 элемента конфигураций Nacos с помощью встроенной функции MySQL AES_ENCRYPT(), удалил оригинальные таблицы и создал таблицу с требованием выкупа (README_RANSOM).
Проблема в том, что ключ шифрования агент сгенерировал как base64(uuid4().bytes + uuid4().bytes) — по сути случайное значение — и вывел его в stdout, но нигде не сохранил и никуда не передал. Это значит, что жертва не сможет восстановить данные даже после оплаты: расшифровать нечем. Автономный агент провёл полноценную деструктивную атаку, но «бизнес-модель» вымогательства оказалась сломана — платить бессмысленно. Для обороняющейся стороны это скорее плохая новость: мотивация злоумышленника перестаёт быть предсказуемо-денежной, а урон становится безвозвратным.
Почему это важно для разработчиков и владельцев сайтов
Главный сдвиг не в том, что появился «умный вирус», а в стоимости атаки. Раньше цепочку «взлом → сбор учёток → боковое перемещение → закрепление → уничтожение данных» вручную вёл квалифицированный оператор. Теперь эту работу способен выполнить агент, рассуждая о целях и переписывая собственный код на лету. Это снижает порог входа и потенциально масштабирует атаки.
При этом входные двери остались прежними и абсолютно приземлёнными: публично открытый сервис с известной непропатченной уязвимостью, дефолтные пароли (minioadmin:minioadmin), незамененный ключ подписи Nacos, административные порты баз данных, торчащие в интернет. Иными словами, никакой «магии ИИ» на этапе проникновения не было — были базовые ошибки конфигурации.
Что делать прямо сейчас
Рекомендации Sysdig сводятся к дисциплине, которую все и так знают, но не всегда соблюдают. Обновите Langflow до версии, где закрыта CVE-2025-3248, и не выставляйте наружу эндпоинты выполнения/валидации кода. Не запускайте серверы AI-оркестрации с ключами провайдеров и облачными доступами прямо в их окружении — компрометация такого хоста сразу отдаёт злоумышленнику всю связку ключей.
Обязательно смените дефолтный token.secret.key в Nacos, обновитесь до релиза, который принуждает задавать собственный ключ, и никогда не открывайте Nacos в интернет. Не выставляйте наружу административные учётки баз данных: включите сильные уникальные пароли и ограничение по IP-адресам источника на управляющих портах. Настройте контроль исходящего трафика (egress controls), чтобы скомпрометированный хост не мог «звонить» на произвольные адреса и достукиваться до внешних баз и стейджинг-серверов. И подключите поведенческое обнаружение угроз в рантайме — на уровне процессов базы данных, — а также мониторинг подозрительных задач cron с исходящими сетевыми вызовами.
JADEPUFFER — это ещё не «Скайнет», а вполне земной инцидент, собранный из старых уязвимостей и плохих настроек. Но он показывает направление: инструменты, которыми мы строим ИИ-приложения, становятся и оружием, и целью одновременно. Базовая гигиена — патчи, отказ от дефолтных паролей, минимизация внешней поверхности и контроль исходящих соединений — остаётся лучшей защитой независимо от того, кто по ту сторону: человек или агент.
Частые вопросы
Это первая публично задокументированная атака программы-вымогателя, которую от начала и до конца провёл автономный ИИ-агент (LLM), а не человек. Её разобрала команда Sysdig Threat Research: агент самостоятельно взломал сервис Langflow, собрал учётные данные, перешёл к производственной базе и зашифровал её конфигурации.
Точкой входа стала CVE-2025-3248 в Langflow — отсутствие проверки авторизации в эндпоинте валидации кода, позволяющее выполнить произвольный Python без аутентификации. Затем агент использовал CVE-2021-29441 для обхода аутентификации в Alibaba Nacos. Обе уязвимости давно известны и имеют патчи.
Нет. Агент сгенерировал ключ шифрования случайным образом, вывел его в stdout, но нигде не сохранил и не передал. Расшифровать конфигурации нечем даже после оплаты, поэтому платить бессмысленно, а урон фактически безвозвратен.
Базовая гигиена: обновить Langflow и Nacos, не выставлять их эндпоинты и админ-порты БД в интернет, сменить дефолтные пароли (например minioadmin) и дефолтный ключ подписи Nacos, не хранить ключи провайдеров рядом с AI-оркестрацией, настроить контроль исходящего трафика и поведенческий мониторинг в рантайме.
Источники
- 1.JADEPUFFER: Agentic ransomware for automated database extortion — Sysdighttps://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
- 2.JadePuffer ransomware used AI agent to automate entire attack — BleepingComputerhttps://www.bleepingcomputer.com/news/security/jadepuffer-ransomware-used-ai-agent-to-automate-entire-attack/
- 3.Researchers Claim First Fully Agentic Ransomware: JadePuffer — Infosecurity Magazinehttps://www.infosecurity-magazine.com/news/researchers-first-agentic/
- 4.Sysdig clocks first documented case of agentic ransomware — CyberScoophttps://cyberscoop.com/sysdig-judepuffer-ai-agentic-ransomware-attack/



