Технологии

Первая автономная атака вируса-вымогателя с ИИ всё равно потребовала человека

Adrian Kessler

Программа-вымогатель, которая на этой неделе попала в заголовки новостей о кибербезопасности, управлялась не хакером, следящим за терминалом. Агент искусственного интеллекта самостоятельно выполнил все технические этапы атаки — разведку сети, кражу учётных данных, перемещение между системами и шифрование более тысячи записей в базе данных. Единственное, что он не смог сделать, — настроить собственную платёжную инфраструктуру и отправить требование о выкупе.

Компания по облачной безопасности Sysdig задокументировала взлом, присвоив ему название JadePuffer. Агент получил доступ через CVE-2025-3248 — неаутентифицированную уязвимость удалённого выполнения кода в Langflow, фреймворке с открытым исходным кодом, используемом для создания приложений на базе ИИ. Используя эту точку входа, он просканировал среду в поисках ключей API, токенов доступа к облаку и учётных данных баз данных, затем перешёл на производственный сервер MySQL и зашифровал 1342 элемента конфигурации, хранящихся в Nacos — корпоративном реестре сервисов, широко используемом в инфраструктурных стеках китайского происхождения.

Самая поразительная деталь — не масштаб атаки, а её способность к самокоррекции. Когда попытка подделать учётные данные администратора провалилась из-за ошибки в конфигурации путей, агент диагностировал первопричину, написал 15-шаговый скрипт для исправления и выполнил его за 31 секунду. Это слишком быстро для человека-оператора, который бы диагностировал, написал сценарий и выполнил исправление — такое поведение указывает на подлинное рассуждение на лету, а не на заранее прописанные сценарии.

Всё это не означает, что операции с программами-вымогателями вот-вот останутся без людей. Атака по-прежнему требовала, чтобы человек настроил сервер управления и контроля, зарегистрировал контактный адрес для выкупа на ProtonMail и создал инфраструктуру до развёртывания агента. Сгенерированный JadePuffer ключ шифрования никогда не сохранялся и не передавался — это означает, что жертвы не смогут восстановить свои данные, даже если заплатят выкуп, что является либо следствием плохого операционного дизайна, либо безразличия к переговорам после атаки.

На самом деле JadePuffer демонстрирует снижение затрат, а не передачу управления. Каждый этап, который ранее требовал специализированных знаний — боковое перемещение, повышение привилегий, перебор баз данных, исправление ошибок в реальном времени — теперь может быть делегирован агенту. Вывод Sysdig прямолинеен: порог квалификации для операций с программами-вымогателями снизился до стоимости запуска языковой модели.

Атака была нацелена на установки Langflow, доступные из интернета. На момент публикации уязвимости Langflow сообщалось о примерно 7000 уязвимых экземпляров. Любая организация, запускающая непропатченный Langflow, Nacos или аналогичную инфраструктуру LLM с открытым исходным кодом на серверах, доступных из интернета, находится в той же зоне риска. Это не новый совет; это та же рекомендация по обеспечению безопасности, которая существовала и до появления ИИ-агентов. Разница в том, что оператор, прощупывающий эти открытые сервисы, теперь работает автоматически.

Уязвимость Langflow была исправлена в апреле 2025 года. Sysdig опубликовала полные индикаторы компрометации, включая IP-адреса C2 и контактный адрес для выкупа. CISA подготовила проект рекомендаций по ограничениям для агентного ИИ, которые ожидаются позднее в этом году — вопрос о том, где заканчиваются полномочия развёрнутого ИИ-агента и где начинается ответственность, пока не получил политического решения.

Теги: , , , , ,

Обсуждение

Имеется 0 комментариев.