Исследователи из Sysdig обнаружили ИИ-агента JADEPUFFER — он впервые автономно провёл атаку с целью получения выкупа. Агент использует большую языковую модель и выполняет целый комплекс действий: ищет цели, крадёт учётные данные, перемещается внутри сети, устанавливает постоянное присутствие, повышает привилегии и шифрует данные.
JADEPUFFER получил первоначальный доступ к целевой системе через уязвимость CVE-2025-3248 в Langflow — популярном фреймворке с открытым исходным кодом для разработки ИИ-приложений. Уязвимость исправили 1 апреля 2025 года, а в начале мая Агентство кибербезопасности и защиты инфраструктуры США (CISA) сообщило, что её уже использовали для атак на незащищённые конечные точки сети.
После получения доступа агент удалил данные из базы данных PostgreSQL Langflow, чтобы собрать информацию о хосте, найти переменные среды и конфиденциальные файлы, извлечь данные сертификатов и составить список мини-объектов. Он также установил на сервере операцию планирования cron и настроил её на отправку сигнала в инфраструктуру злоумышленника каждые 30 минут.
Затем злоумышленник перешёл с экземпляра Langflow на сервер MySQL рабочей среды, где работает Alibaba Nacos. ИИ-агент изучил методы эвакуации контейнера и развернул полезную нагрузку программы-вымогателя. Sysdig сообщил, что JADEPUFFER зашифровал 1342 настройки сервиса Nacos перед удалением исходных данных.
Среди признаков того, что атака контролировалась ИИ, — подробные аннотации в сгенерированном коде на естественном языке и быстрая реакция на ошибки вместо простого повторения действий. Sysdig считает, что случай с JADEPUFFER знаменует начало эры «прокси-исполнителей угроз» (ATA) и снижает технический порог для кибератак.
