ИИ-агент впервые мог самостоятельно провести полноценную атаку с шифровальщиком
Специалисты по кибербезопасности из компании Sysdig сообщили о возможной первой в истории атаке с использованием программы-вымогателя, которая была проведена почти полностью автономным агентом на базе большой языковой модели (LLM). По данным исследователей, вредоносная операция под названием JadePuffer смогла самостоятельно выполнять разведку, повышать привилегии, закрепляться в системе и шифровать данные без постоянного участия человека.
Если выводы исследователей подтвердятся, это станет важным этапом развития киберугроз: искусственный интеллект перейдёт от написания вредоносного кода к самостоятельному планированию и проведению сложных атак в реальном времени.
Атака началась с эксплуатации уязвимости CVE-2025–3248 в Langflow — популярном фреймворке с открытым исходным кодом для создания приложений на базе больших языковых моделей. Эта уязвимость удалённого выполнения кода была исправлена ещё в апреле 2025 года, однако позднее вошла в каталог активно эксплуатируемых уязвимостей американского агентства CISA.
После проникновения в систему JadePuffer начал действовать по сценарию, который обычно характерен для опытных группировок-вымогателей. ИИ-агент собрал информацию о хостах, обнаружил учётные данные и конфиденциальные файлы, извлёк облачные секреты, исследовал системы хранения данных и приступил к перемещению внутри инфраструктуры жертвы.
Изображение сгенерировано: Nano BananaОсобое внимание исследователей привлекла способность вредоносной программы адаптироваться к неожиданным ситуациям. Например, при попытке работы с объектным хранилищем MinIO агент получил неожиданный XML-ответ. Вместо завершения операции он самостоятельно изменил логику обработки данных и повторил запрос другим способом. В другом случае система автоматически исправила ошибку аутентификации всего за 31 секунду без какого-либо вмешательства оператора.
Затем JadePuffer закрепился в системе с помощью cron-заданий и переключился на производственный сервер, использующий платформу Alibaba Nacos. Там агент воспользовался известной уязвимостью CVE-2021–29441, создал поддельные учётные записи администраторов и получил полный контроль над системой конфигурации.
Финальным этапом атаки стало шифрование 1342 записей конфигурации Nacos. Оригинальные данные были удалены и заменены сообщением с требованием выкупа в биткоинах.
При анализе специалисты обнаружили несколько необычных признаков, которые могут указывать на участие искусственного интеллекта. Вредоносный код содержал чрезмерно подробные комментарии на естественном языке, объясняющие логику собственных действий. Кроме того, в требовании выкупа использовался биткоин-кошелёк, который ранее фигурировал лишь в качестве примера в технической документации, а не применялся в реальных операциях вымогателей.
Исследователи также пришли к выводу, что программа, вероятно, использовала алгоритм шифрования AES-128 в режиме ECB, хотя сама заявляла о применении более надёжного AES-256. Подобные несоответствия специалисты считают характерной особенностью ИИ-генерированного вредоносного ПО.
Появление JadePuffer происходит на фоне растущего интереса к так называемому агентному искусственному интеллекту — системам, способным не просто отвечать на запросы пользователя, а самостоятельно планировать и выполнять сложные последовательности действий. Хотя обнаруженный агент использовал уже известные уязвимости и не создавал новых методов взлома, его способность автономно проводить разведку, повышать привилегии, закрепляться в системе и разворачивать шифровальщик может означать начало новой эпохи киберугроз.
В Sysdig считают, что «агенты-злоумышленники» уже перестали быть теоретической концепцией. Такие системы потенциально способны значительно снизить порог входа для проведения сложных кибератак, одновременно создавая новые вызовы для специалистов по безопасности. Вместе с тем исследователи отмечают, что искусственный интеллект может оставлять характерные поведенческие и программные признаки, которые в будущем помогут создавать новые методы обнаружения подобных атак.
© iXBT
