Исследователи Sysdig описали первую в истории полностью автономную атаку программы-вымогателя, выполненную AI-агентом без участия человека. Разбираем, как была построена цепочка компрометации, почему этот кейс важен для всех AI-агентов и какие меры помогут снизить риск подобных атак.

Sysdig — компания, создавшая популярный open source-инструмент Falco для обеспечения безопасности устройств на Linux, контейнеров и облачных сред.

Используйте навигацию, если не хотите читать текст полностью:

Информационная безопасность как услуга

Предоставляем ИТ-инфраструктуру для проектов с повышенными требованиями безопасности, а также сервисы для защиты сетей, ОС и приложений.

Подробнее →

Как была проведена атака

Исследователи Sysdig обнаружили, что AI-агент на базе LLM самостоятельно выполнил полный цикл атаки: проникновение в систему, кражу учетных данных, перемещение внутри сети, шифрование и уничтожение базы данных организации.

Точкой входа послужила давно исправленная, но все еще широко распространенная уязвимость CVE-2025-3248 в Langflow — популярном инструменте с открытым исходным кодом для построения AI-приложений. Наличие уязвимости и отсутствие дополнительных мер безопасности (сервер с Langflow был доступен из интернета) позволяли любому атакующему, имеющему доступ к серверу, выполнять произвольный Python-код без входа в систему.

Langflow-серверы представляют собой привлекательную цель, поскольку часто остаются открытыми в интернете и содержат ключи API и учетные данные для подключенных сервисов.

Цепочка заражения

Получив доступ, AI-агент действовал быстро и методично. Он просканировал систему и собрал конфиденциальные данные: API-ключи AI-сервисов (OpenAI, Anthropic, DeepSeek, Gemini), облачные учетные данные (Alibaba, Tencent, AWS, Google, Azure), ключи криптокошельков и логины к базам данных.

Агент обнаружил и «взломал» сервер MinIO, используя стандартные учетные данные по умолчанию (minioadmin:minioadmin), которые так и не были изменены владельцем сервера. Он также установил механизм постоянного доступа, добавив запланированную задачу, которая отправляла сигнал на сервер атакующего каждые 30 минут.

Затем AI-агент переключился на основную цель — отдельный сервер с MySQL-базой данных. Используя уязвимость обхода аутентификации CVE-2021-29441 и стандартный ключ сервиса Nacos, который не менялся с 2020 года, AI-агент вошел в систему как администратор.

Уничтожение без возможности восстановления

Агент зашифровал все 1342 настройки Nacos, удалил исходные таблицы и оставил записку с требованием выкупа в биткоинах. Однако ключ шифрования, сгенерированный AI-агентом, был выведен на экран один раз и при этом не был сохранен или отправлен на сервер злоумышленников. Таким образом, восстановление данных было бы невозможно даже при условии оплаты.

Несмотря на заявления в записке о шифровании AES-256, исследователи Sysdig отмечают, что используемый инструмент по умолчанию применяет более слабое шифрование AES-128. После шифрования агент удалил базы данных, оставив в своем коде комментарий о якобы скопированных данных, что также не подтвердилось.

Как эксперты определили, что атаку вел AI-агент

Ключевым признаком стало содержимое кода атаки. Вредоносный код содержал подробные пояснения на естественном языке, объясняющие каждый шаг — характерный признак работы языковой модели, которую вряд ли бы оставил «человек-хакер».

Агент также исправлял собственные ошибки со скоростью машины. В одном случае он перешел от неудачной попытки входа к правильному многошаговому исправлению за 31 секунду, диагностировав точную причину сбоя вместо слепых повторных попыток. Всего Sysdig зафиксировала использование более 600 отдельных эксплойтов.

И еще одна любопытная деталь: биткоин-адрес в записке о выкупе совпадал с примером из документации разработчиков Bitcoin. Он встречается в миллионах текстов, на которых обучались модели. Специалисты Sysdig не смогли определить, использовала ли модель знакомый адрес случайно или злоумышленник, который управлял AI-агентом, намеренно выбрал такой кошелек.

JADEPUFFER — очередной шаг в быстро развивающемся ландшафте AI-атак. Если в прошлом результат работы ИИ использовался злоумышленниками для создания фишинговых писем и дипфейков, то теперь AI-агенты под управлением злоумышленников самостоятельно создают эксплойты, шифруют данные и уничтожают инфраструктуру.

Рекомендации для защиты

Поскольку теперь злоумышленники могут значительно дешевле создавать AI-агентов, атакующих системы по всему интернету, рекомендуем уделить особое внимание многоуровневой сегментации ИТ-инфраструктуры (об этом мы подробно рассказывали на вебинаре).

Схема «эшелонированной защиты».
Схема «эшелонированной защиты».

Использование ИИ позволяет злоумышленникам за считаные часы превращать информацию о новой уязвимости в готовый эксплойт. По этой причине организациям стоит уделять больше внимания мониторингу информационной безопасности и выявлению подозрительной активности в сетевом трафике и на серверах. Это важно делать с помощью сетевых и хостовых систем обнаружения и предотвращения вторжений (IDS/IPS), а не полагаться исключительно на скорость, с которой DevOps-администраторы успевают устанавливать обновления безопасности.

Если хотите глубже разобраться в практических инструментах защиты, рекомендуем наш подробный справочник по Wazuh. В нем рассмотрели архитектуру платформы, настройку SIEM, сбор и анализ логов, правила корреляции, контроль целостности файлов, обнаружение уязвимостей и другие возможности для мониторинга безопасности инфраструктуры.

Хотите выиграть призы и бонусы на аренду серверов?

Приглашаем решить ИТ-кроссворд! Более 100 вопросов на разные темы из мира ИИ и машинного обучения — ежедневно с 6 по 9 июля

Зарегистрироваться →

Комментарии (4)


  1. Wesha
    07.07.2026 16:55

    биткоин‑адрес в записке о выкупе совпадал с примером из документации разработчиков Bitcoin. Он встречается в миллионах текстов, на которых обучались модели. Специалисты Sysdig не смогли определить, использовала ли модель знакомый адрес случайно или злоумышленник, который управлял AI‑агентом, намеренно выбрал такой кошелек.

    Ну то есть слил бабки «в никуда». Что называется, «ни себе, ни людям». Гениально, КМК. /s


    1. tairsu
      07.07.2026 16:55

      как же "в никуда", разработчику документации пришло /s
      p.s. как же забавно, что теперь грамотность текста вызывает справедливые подозрения в его ИИ происхождении. Несколько лет назад было наоборот, а теперь цифровая подпись "сделано человеком" это фактически пропущенные запятые и -ться.


    1. d3d14
      07.07.2026 16:55

      Видимо, это был тест.


  1. muxa_ru
    07.07.2026 16:55

    используя стандартные учетные данные по умолчанию (minioadmin:minioadmin),

    Ну, то есть, хватит эккаунта на Шодане и никакого ИИ не надо?