JADEPUFFER: как ИИ-агент самостоятельно взломал, зашифровал и уничтожил базу данных

Компания Sysdig и её команда Sysdig Threat Research Team зафиксировали то, что они называют первой в истории атакой-вымогателем, которую языковая модель провела от начала до конца без участия человека-оператора. Группировка получила имя JADEPUFFER. ИИ-агент самостоятельно нашёл точку входа, украл учётные данные, переместился по сети, зашифровал производственную базу данных и затем её удалил.
Всё началось с уязвимости CVE-2025-3248 в Langflow — опенсорсном инструменте для построения рабочих процессов с ИИ-агентами. Дыра относится к классу missing-authentication: любой, кто может достучаться до сервера, запускает на нём произвольный Python-код без какой-либо авторизации. В мае 2025 года CISA внесла CVE-2025-3248 в список Known Exploited Vulnerabilities, патч появился в Langflow версии 1.3.0, но значительная часть серверов так и осталась необновлённой. Langflow привлекателен для атакующих ещё и потому, что часто торчит в открытый интернет и хранит API-ключи и облачные учётные данные подключённых сервисов.
Оказавшись внутри, агент первым делом составил карту скомпрометированной машины и собрал всё, что плохо лежало: ключи OpenAI, Anthropic, DeepSeek, Gemini, облачные credentials Alibaba, Tencent, AWS, Google и Azure, ключи криптокошельков и логины к базам данных. После этого он добрался до сервера хранилища MinIO и вошёл с заводскими учётными данными minioadmin:minioadmin, которые никто не удосужился сменить. Для устойчивого присутствия агент зарегистрировал планировщик задач, который каждые 30 минут отправлял сигнал на адрес командного сервера 45.131.66[.]106:4444.
Следующим шагом стал отдельный сервер с MySQL и Alibaba Nacos — системой управления конфигурациями, популярной в микросервисных архитектурах. В MySQL агент вошёл под root. Откуда он взял пароль — Sysdig так и не установила. Nacos был захвачен через два вектора сразу: баг CVE-2021-29441, позволяющий обойти аутентификацию, и дефолтный ключ подписи, который Nacos отгружает неизменным с 2020 года. В итоге агент создал в Nacos собственную учётную запись администратора.
Удар по данным оказался полным. Все 1342 настройки Nacos были зашифрованы, исходные таблицы удалены. В базе появилась таблица с именем README_RANSOM, содержавшая требование выкупа в биткоинах и контакт через Proton Mail. В записке заявлялось о шифровании AES-256, однако Sysdig выяснила, что реально применялось AES-128. Впрочем, для жертвы это не принципиально: агент сгенерировал случайный ключ шифрования, один раз вывел его на экран и никуда не сохранил. Ключа для передачи попросту не существует — данные невозможно восстановить даже после оплаты.
Биткоин-адрес в записке о выкупе — 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — оказался тем самым примером из официальной документации Bitcoin для разработчиков. Он встречается по всему обучающему корпусу языковых моделей и одновременно является реальным кошельком с историей транзакций. Sysdig рассматривает два варианта: модель воспроизвела знакомый адрес из памяти, то есть галлюцинировала, либо оператор намеренно использовал этот кошелёк. Что из двух — неизвестно.
Исследователи определили, что атаку вёл именно ИИ-агент, по трём признакам. Во-первых, все полезные нагрузки содержали подробные комментарии на обычном английском языке с объяснением каждого шага — человек-хакер такого не пишет, а модель делает это по умолчанию. Во-вторых, агент исправлял собственные ошибки со скоростью машины: от неудачной попытки входа до корректного многошагового решения прошло 31 секунда, причём он точно диагностировал причину сбоя, а не перебирал варианты вслепую. В-третьих, за всю операцию было зафиксировано более 600 отдельных целенаправленных полезных нагрузок.
JADEPUFFER появился в конкретном историческом моменте. В августе 2025 года исследователи ESET описали PromptLock как первое ИИ-вымогательское ПО, но позже выяснилось, что это лабораторный прототип из NYU под названием Ransomware 3.0, а не реальная атака. Тогда же Anthropic сообщила о реальной кампании вымогательства с использованием Claude Code: пострадали как минимум 17 организаций, суммарные требования превысили 500 000 долларов, однако операцией руководил человек. В ноябре 2025 года Anthropic раскрыла детали того, что назвала первой в основном автономной кибератакой, связанной с китайскими государственными структурами: Claude самостоятельно писал эксплойты и похищал данные, а также изобретал несуществующие учётные данные — поведение, похожее на то, что наблюдалось в случае с биткоин-адресом JADEPUFFER.
Sysdig оценивает JADEPUFFER как предупреждение, а не катастрофу. Ни один из отдельных приёмов не был изощрённым или новым. Новым оказалось то, что модель самостоятельно связала их в полную цепочку атаки против заброшенного сервера. По мере взросления агентских инструментов такие случаи будут повторяться. Любой открытый сервер, хранилище конфигураций или административный логин к базе данных теперь стоит воспринимать как цель, которую машина будет зондировать по умолчанию.
Из конкретных рекомендаций Sysdig: Langflow нужно патчить немедленно и не выставлять его в интернет, API-ключи и облачные credentials хранить в отдельном менеджере секретов. Для Nacos — сменить дефолтный ключ подписи и убрать его с публичного доступа, не давать ему подключаться к базе под root. Исходящий трафик со скомпрометированного сервера должен быть заблокирован, чтобы исключить связь с командным сервером. При нынешней скорости, с которой свежие уязвимости превращаются в оружие, Sysdig считает мониторинг поведения в реальном времени важнее гонки за патчами.


Новое на сайте

Ссылка