Группа по исследованию угроз (TRT) Sysdig обнаружила первую атаку программы-вымогателя с использованием AI Agent — атаку «JadePuffer». Она управляется сквозной моделью LLM и относится к новому типу угроз — Agent threat Actor (ATA), то есть реализуется автономными агентами ИИ.
Одна из ключевых проблем — предприятия часто пренебрегают безопасностью инфраструктуры ИИ. В случае с JadePuffer злоумышленник нацелился на платформу Langflow (с открытым исходным кодом, предназначена для создания крупномасштабных приложений с языковой моделью и рабочих процессов агентов). Атака использовала уязвимость Langflow CVE-2025-3248: отсутствие аутентификации в конечной точке проверки кода позволяло удалённому злоумышленнику выполнить произвольный код Python на хосте.
Серверы, связанные с ИИ, стали привлекательной целью для атак, поскольку на них хранится много облачных сертификатов и API‑ключей поставщиков ИИ в переменных среды, а контроль доступа к сети часто недостаточен.
JadePuffer демонстрирует сложные механизмы действий. Он собирает системную информацию на хосте и сканирует конфиденциальные данные: API‑ключи крупных поставщиков языковых моделей, криптовалютные кошельки и мнемонику, учётные данные базы данных, файлы конфигурации системы. Затем агент экспортирует базу данных PostgreSQL из Langflow, чтобы получить сертификаты и записи пользователей, а после просмотра временного файла удаляет их.
Кроме того, JadePuffer исследует адресное пространство во внутренней сети — ищет базы данных, хранилища объектов, хранилища ключей и конечные точки обнаружения служб. Он пытается войти в систему с учётными данными по умолчанию. Например, успешно заблокировал службу хранения объектов MinIO и использовал учётные данные администратора по умолчанию для перечисления.

ИИ‑агент продемонстрировал адаптивную самокоррекцию: он скорректировал синтаксический анализатор XML для работы с ответом в формате S3 XML и успешно перечислил все корзины. Также агент определяет приоритеты фильтрации и загрузки хранилища с статусом Terraform, внутренними настройками, учётными данными ключа доступа.json и файлом сертификата env. На хосте Langflow установлено расписание отправки сигналов на ретрансляционную станцию каждые 30 минут.
Ещё одна важная особенность атаки — нацеливание на производственный сервер с MySQL и службой Nacos от Alibaba. JadePuffer использует уязвимость аутентификации CVE-2021-29441, ключ подписи JWT по умолчанию для подделки токена администратора, внедряет учётную запись администратора бэкдора во внутреннюю базу данных Nacos с разрешением root для MySQL.
При неудачном входе в систему (из‑за отсутствия bcrypt kit) агент за 31 секунду автоматически переписал 15‑тактный код, импортировал модуль bcrypt и восстановил учётную запись. При неудачном удалении базы данных из‑за ограничений внешнего ключа агент автоматически добавил настройку для отключения проверки внешнего ключа и выполнил удаление.
JadePuffer также выполнил предварительную проверку контейнера escape длительностью до 8 минут: использовал команду чтения файла MySQL, прочитал файлы Sock, cgroup и /proc/1/mountinfo, попытался использовать пользовательскую функцию MySQL (UDF) для повышения разрешений. После подтверждения контроля агент зашифровал 1342 настройки Nacos с помощью AESENCRYPT(), удалил исходные настройки и исторические записи, создал информационный лист для шантажа READMERANSOM, указал адрес для получения биткойнов и контактный email.
Sysdig отмечает особенность «самоподсказывающегося кода» в JadePuffer: код декодирования заполнен подробными аннотациями на естественном языке, что характерно для автоматической генерации кода LLM. В письме о шантаже указан биткоин‑адрес 3J98T1WPEZ73CNMQVIECRNYIWRNQRHW — это пример из учебника в Bitcoin core и документах разработчика. LLM‑агент привнёс иллюзию в классический пример: платёж жертвы пойдёт на указанный в примере кошелёк. За короткий промежуток времени выполнено более 600 целенаправленных операций.
Sysdig даёт следующие рекомендации:
* устранить уязвимости Langflow;
* запретить доступ к сети конечных точек выполнения кода или проверки;
* не хранить облачные сертификаты или API‑ключи в переменных среды сервера;
* осуществлять контроль доступа через Secret Manager;
* изменить токен по умолчанию в Nacos;
* избегать использования подписи из официального документа;
* не разрешать службе подключаться к резервной базе данных MySQL с правами root;
* ввести ограничения доступа к учётным записям управления БД;
* запретить хосту‑жертве отправлять ретрансляционные сигналы или подключаться к несанкционированным внешним серверам (Egress Controls).
Атака JadePuffer знаменует переход от автоматизации инструментов к автоматизации агентов ИИ. CISO должен провести инвентаризацию инфраструктуры разработки ИИ и управления сертификатами, установить разрешения для служб и БД, чтобы избежать распространения уязвимостей и подключения агентов ИИ к цепочке атак.