Do tej pory za każdym udanym atakiem ransomware stał człowiek – doświadczony haker, który podejmował decyzje, reagował na błędy i koordynował kolejne kroki. Eksperci z firmy Sysdig twierdzą, że ten etap właśnie dobiegł końca. Udokumentowali oni pierwszy przypadek, w którym agent AI – model językowy działający w pełni autonomicznie – przeprowadził cały atak ransomware od etapu wstępnego włamania aż po zaszyfrowanie bazy danych i pozostawienie żądania okupu. Bez żadnego człowieka przy klawiaturze.
Badacze nadali sprawcy kryptonim JADEPUFFER. W szczegółowej analizie pokazali, jak agent wykorzystał model LLM do samodzielnego włamania, kradzieży danych uwierzytelniających, przemieszczania się po sieci, założenia backdoora, a wreszcie – szyfrowania i niszczenia produkcyjnej bazy danych. To nie symulacja ani eksperyment laboratoryjny – atak został przeprowadzony w realnym środowisku, a Sysdig opisał go na podstawie zebranych dowodów.
Stara luka, której nikt nie załatał – pierwszy krok agenta
JADEPUFFER nie wykorzystał żadnej zero-day ani zaawansowanej techniki. Wszedł do systemu przez banalny, roczny błąd w Langflow – otwartoźródłowym narzędziu służącym do budowania aplikacji AI. Podatność ta została już załatana, jednak – jak pokazują dane Sysdig – wiele serwerów z Langflow wciąż jest wystawionych na zewnątrz bez aktualizacji.
Problem polega na tym, że takie serwery często przechowują klucze API i dane dostępowe do chmury dla podpiętych usług. Dla agenta AI to jak otwarte drzwi: wystarczyło przeskanować hosta w poszukiwaniu sekretów. I dokładnie to zrobił.
Jak agent przeszukał system i zdobył dane
Po uzyskaniu dostępu JADEPUFFER działał błyskawicznie. Przeskanował maszynę w poszukiwaniu kluczy dostawców AI, loginów do chmury, portfeli kryptowalut i haseł do baz danych. Natknął się nawet na serwer plików używający fabrycznego, niezmienionego hasła – co pozwoliło mu zdobyć jeszcze więcej danych. Następnie zainstalował backdoora, który co 30 minut kontaktował się z serwerem atakującego, utrzymując stałą obecność w sieci.
Prawdziwy cel znajdował się jednak na oddzielnym serwerze bazy danych. Agent zalogował się tam jako root – badacze z Sysdig nie są w stanie określić, skąd pochodziły te uprawnienia. Następnie przejął system konfiguracyjny serwera, wykorzystując podatność z 2021 roku oraz domyślny klucz podpisu, którego nikt nigdy nie zmienił. Założył własne konto administracyjne i rozpoczął ostatnią fazę ataku.
1342 zaszyfrowane wpisy i okup, którego nie da się zapłacić
JADEPUFFER zaszyfrował 1342 ustawienia konfiguracyjne bazy danych, usuwając oryginały. Na koniec zostawił notatkę z żądaniem okupu w Bitcoinach. Jest jednak okrutny zwrot: agent wygenerował losowy klucz szyfrujący, wyświetlił go raz na ekranie, po czym nigdzie go nie zapisał ani nie wysłał. Oznacza to, że nawet jeśli ofiara zdecyduje się zapłacić, nie ma fizycznej możliwości odzyskania danych – klucz po prostu nie istnieje.
Co więcej, agent twierdził w komentarzach do własnego kodu, że skopiował dane w inne miejsce. Sysdig nie znalazł jednak żadnych śladów takiego transferu. To sugeruje, że model, działając zgodnie z instrukcją, dodał fałszywą informację – prawdopodobnie jako domyślny element generowanego opisu.
Po czym poznać, że za atakiem stoi maszyna?
Badacze z Sysdig wskazują na kilka charakterystycznych cech. Kod ataku zawierał szczegółowe komentarze w języku angielskim – coś, czego żaden doświadczony haker by nie zrobił, ale model generuje automatycznie. Agent poprawiał też własne błędy w tempie niemożliwym dla człowieka. Michael Clark, dyrektor ds. badań nad zagrożeniami w Sysdig, podaje konkretny przykład: od nieudanego logowania do znalezienia poprawnego, wieloetapowego rozwiązania minęło zaledwie 31 sekund. W sumie Sysdig naliczył ponad 600 celowych, samodzielnych akcji agenta.
„Próg umiejętności potrzebnych do przeprowadzenia ataku ransomware spadł do ceny uruchomienia agenta” – Michael Clark, dyrektor ds. badań nad zagrożeniami w Sysdig
Co to oznacza dla bezpieczeństwa IT i jakie są pierwsze wnioski
Żadna pojedyncza technika użyta przez JADEPUFFER nie była nowa ani szczególnie sprytna. Przełom polega na tym, że model AI samodzielnie połączył je w pełny łańcuch ataku – bez ingerencji człowieka. Jak ujął to Clark: „próg umiejętności spadł do whatever it costs to run an agent”. Jeśli agent działa na skradzionych danych logowania, koszt takiego ataku zbliża się do zera.
To ta sama logika automatyzacji, która już teraz zmienia ekonomię asystentów programistycznych, generuje złośliwy kod w przeglądarkach i napędza nowe fale trojanów bankowych. Jednak jest też promyk nadziei: ponieważ agent opisuje swoje intencje w komentarzach, obrońcy dostają sygnał, którego wcześniej nie mieli. Powstaje już rynek startupów specjalizujących się w zabezpieczaniu agentów AI oraz narzędzi do wykrywania, czy za kontem nie stoi maszyna podająca się za człowieka.
Stare dobre zasady bezpieczeństwa w nowej rzeczywistości
Rozwiązania, które powstrzymałyby atak JADEPUFFER, są doskonale znane każdemu administratorowi: regularne łatkowanie systemów, nieeksponowanie paneli administracyjnych w sieci publicznej oraz trzymanie kluczy chmurowych z dala od maszyn dostępnych z internetu. Problem w tym, że wiele firm wciąż te zasady ignoruje – a agent AI nie potrzebuje przerwy na kawę, by to wykorzystać.
Sysdig nazywa JADEPUFFER ostrzeżeniem, a nie kryzysem. Jednocześnie podkreśla, że wraz z dojrzewaniem narzędzi agentowych (ang. agentic tools) liczba takich ataków będzie rosnąć. Nie chodzi o to, że AI nagle stało się genialnym hakerem – chodzi o to, że każdy, kto ma dostęp do modelu, może teraz uruchomić autonomiczne ransomware, a automatyzacja działa 24/7, nie popełnia zmęczeniowych błędów i uczy się na własnych pomyłkach w sekundy.
Dla firm oznacza to konieczność zmiany myślenia: nie tylko „czy ktoś próbuje się włamać”, ale „czy moja infrastruktura jest gotowa na atak, który sam się naprawia i adaptuje”. Obrona również musi stać się szybsza i bardziej zautomatyzowana – a sygnały generowane przez mówiące o sobie agenty AI mogą być kluczowym elementem tej układanki.

