Исследователи Sysdig описали первую в истории полностью автономную атаку программы-вымогателя, выполненную AI-агентом без участия человека. Под катом разберем, как была построена цепочка компрометации, почему этот кейс важен для всех AI-агентов и какие меры помогут снизить риск подобных атак. Под кат →

Исследователи Sysdig описали первую в истории полностью автономную атаку программы-вымогателя, выполненную AI-агентом без участия человека. Разбираем, как была построена цепочка компрометации, почему этот кейс важен для всех AI-агентов и какие меры помогут снизить риск подобных атак.
Используйте навигацию, если не хотите читать текст полностью:Sysdig — компания, создавшая популярный open source-инструмент Falco для обеспечения безопасности устройств на Linux, контейнеров и облачных сред.

Информационная безопасность как услуга
Предоставляем ИТ-инфраструктуру для проектов с повышенными требованиями безопасности, а также сервисы для защиты сетей, ОС и приложений.
Исследователи Sysdig обнаружили, что AI-агент на базе LLM самостоятельно выполнил полный цикл атаки: проникновение в систему, кражу учетных данных, перемещение внутри сети, шифрование и уничтожение базы данных организации.
Точкой входа послужила давно исправленная, но все еще широко распространенная уязвимость CVE-2025-3248 в Langflow — популярном инструменте с открытым исходным кодом для построения AI-приложений. Наличие уязвимости и отсутствие дополнительных мер безопасности (сервер с Langflow был доступен из интернета) позволяли любому атакующему, имеющему доступ к серверу, выполнять произвольный Python-код без входа в систему.
Langflow-серверы представляют собой привлекательную цель, поскольку часто остаются открытыми в интернете и содержат ключи API и учетные данные для подключенных сервисов.
Получив доступ, AI-агент действовал быстро и методично. Он просканировал систему и собрал конфиденциальные данные: API-ключи AI-сервисов (OpenAI, Anthropic, DeepSeek, Gemini), облачные учетные данные (Alibaba, Tencent, AWS, Google, Azure), ключи криптокошельков и логины к базам данных.
Агент обнаружил и «взломал» сервер MinIO, используя стандартные учетные данные по умолчанию (minioadmin:minioadmin), которые так и не были изменены владельцем сервера. Он также установил механизм постоянного доступа, добавив запланированную задачу, которая отправляла сигнал на сервер атакующего каждые 30 минут.
Затем AI-агент переключился на основную цель — отдельный сервер с MySQL-базой данных. Используя уязвимость обхода аутентификации CVE-2021-29441 и стандартный ключ сервиса Nacos, который не менялся с 2020 года, AI-агент вошел в систему как администратор.
Агент зашифровал все 1342 настройки Nacos, удалил исходные таблицы и оставил записку с требованием выкупа в биткоинах. Однако ключ шифрования, сгенерированный AI-агентом, был выведен на экран один раз и при этом не был сохранен или отправлен на сервер злоумышленников. Таким образом, восстановление данных было бы невозможно даже при условии оплаты.
Несмотря на заявления в записке о шифровании AES-256, исследователи Sysdig отмечают, что используемый инструмент по умолчанию применяет более слабое шифрование AES-128. После шифрования агент удалил базы данных, оставив в своем коде комментарий о якобы скопированных данных, что также не подтвердилось.
Ключевым признаком стало содержимое кода атаки. Вредоносный код содержал подробные пояснения на естественном языке, объясняющие каждый шаг — характерный признак работы языковой модели, которую вряд ли бы оставил «человек-хакер».
Агент также исправлял собственные ошибки со скоростью машины. В одном случае он перешел от неудачной попытки входа к правильному многошаговому исправлению за 31 секунду, диагностировав точную причину сбоя вместо слепых повторных попыток. Всего Sysdig зафиксировала использование более 600 отдельных эксплойтов.
И еще одна любопытная деталь: биткоин-адрес в записке о выкупе совпадал с примером из документации разработчиков Bitcoin. Он встречается в миллионах текстов, на которых обучались модели. Специалисты Sysdig не смогли определить, использовала ли модель знакомый адрес случайно или злоумышленник, который управлял AI-агентом, намеренно выбрал такой кошелек.
JADEPUFFER — очередной шаг в быстро развивающемся ландшафте AI-атак. Если в прошлом результат работы ИИ использовался злоумышленниками для создания фишинговых писем и дипфейков, то теперь AI-агенты под управлением злоумышленников самостоятельно создают эксплойты, шифруют данные и уничтожают инфраструктуру.
Поскольку теперь злоумышленники могут значительно дешевле создавать AI-агентов, атакующих системы по всему интернету, рекомендуем уделить особое внимание многоуровневой сегментации ИТ-инфраструктуры (об этом мы подробно рассказывали на вебинаре).

Схема «эшелонированной защиты».
Использование ИИ позволяет злоумышленникам за считаные часы превращать информацию о новой уязвимости в готовый эксплойт. По этой причине организациям стоит уделять больше внимания мониторингу информационной безопасности и выявлению подозрительной активности в сетевом трафике и на серверах. Это важно делать с помощью сетевых и хостовых систем обнаружения и предотвращения вторжений (IDS/IPS), а не полагаться исключительно на скорость, с которой DevOps-администраторы успевают устанавливать обновления безопасности.
Если хотите глубже разобраться в практических инструментах защиты, рекомендуем наш подробный справочник по Wazuh. В нем рассмотрели архитектуру платформы, настройку SIEM, сбор и анализ логов, правила корреляции, контроль целостности файлов, обнаружение уязвимостей и другие возможности для мониторинга безопасности инфраструктуры.
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Researchers Uncover First Fully Agentic AI Ransomware Attack | 0 | 8 | 06-07-2026 |
| 2 | Как агент сам откроет дверь хакеру? Разбираю три реальных пробоя AI-агентов и почему обычный ред-тиминг их не найдёт | 5 | 8 | 28-06-2026 |
| 3 | Впервые зафиксирована атака вымогателей, которую почти всю провёл ИИ | 0 | 7 | 06-07-2026 |
| 4 | Ce ransomware IA peut mener une cyberattaque sans l’aide d’un être humain… enfin presque | 0 | 7 | 07-07-2026 |
| 5 | Sysdig clocks first documented case of agentic ransomware | 0 | 7 | 06-07-2026 |
| 6 | Spy agencies say AI can help combat AI cyber risks. But don’t forget the basics | 0 | 6 | 24-06-2026 |
| 7 | Postřehy z bezpečnosti: malware klame analytické AI nástroje | -2 | 7 | 28-06-2026 |
| 8 | The Hidden Cost of AI Security Scanners | 0 | 7 | 20-05-2026 |
| 9 | Хакеры могут использовать 9 популярных ИИ-ассистентов и агентов для создания ботнетов и кибератак | 0 | 8 | 08-07-2026 |