ШІ нібито зламав мережу сам — але людина в ланцюжку таки була

3 хв. читання

Що сталося

Компанія з кібербезпеки Sysdig 1 липня 2026 року описала операцію JADEPUFFER — перший задокументований випадок, коли ШІ-агент самостійно провів технічну частину ransomware-атаки: від зламу сервера до шифрування бази даних і вимоги викупу. Заголовки розлетілися як «перша повністю автономна кібератака», але 6 липня TechCrunch уточнив ключову деталь зі слів того самого дослідника Sysdig: без людини в ланцюжку таки не обійшлося.

Деталі

Агент проник через відому вразливість CVE-2025-3248 у Langflow — опенсорсному конструкторі ШІ-застосунків, — отримав доступ до бази PostgreSQL і зібрав ключі API (зокрема OpenAI, Anthropic, DeepSeek, Gemini), облікові дані хмарних сервісів і криптогаманців. Важлива деталь: ці ключі були просто «трофеями» на зламаному хості, а не доказом того, яка саме модель керувала атакою.

Далі агент просканував внутрішню мережу, знайшов сховище MinIO з дефолтним логіном minioadmin:minioadmin, витягнув файли стану Terraform із хмарними ключами і перейшов на бойовий сервер MySQL та сервіс конфігурацій Nacos. Через вразливість CVE-2021-29441 і дефолтний ключ підпису агент підробив JWT-токен і створив адміністратора-бекдор; коли перша спроба входу провалилася, він сам діагностував помилку і виправив її за 31 секунду. У підсумку агент зашифрував 1 342 записи конфігурації функцією MySQL AES_ENCRYPT(), видалив оригінали й залишив записку з Bitcoin-адресою та контактом на Proton Mail. За даними Sysdig, ключ шифрування згенерували й вивели на екран, але ніде не зберегли — заплатити й відновити дані фізично неможливо.

Але, за словами Майкла Кларка, старшого директора з розслідування загроз Sysdig, людина в цій операції все ж таки: обрала жертву, підняла командний і накопичувальний сервери для атаки та передала агенту чужі вкрадені облікові дані — їх здобули окремим зламом заздалегідь. Яка саме модель стояла за агентом, Sysdig встановити не змогла; дослідник Microsoft Джефф Макдональд припускає відкриту модель з урізаними обмеженнями безпеки, але підтвердження цьому немає — у передових моделей захисні фільтри, за його досвідом red-team, зазвичай тримаються добре.

Що це означає

Заголовки «ШІ вперше зламав мережу без жодної людини» перебільшують реальну картину: агент пройшов сам лише технічну частину — експлойт, розвідку, бокове переміщення, шифрування, — а рішення, кого атакувати, і підготовку інфраструктури робив оператор-людина. Кларк прямо вказує на це як на вузьке місце: поки кожну жертву треба обирати, а credentials — здобувати вручну, мова не йде про тисячі одночасних автономних кампаній.

Для звичайного користувача і бізнесу, який тримає відкриті назовні сервіси на кшталт Langflow, MinIO чи Nacos, практичний ризик не в тому, що «ШІ сам вас зламає», а в тому, що поріг входу для складних багатоступеневих атак помітно впав: агент знаходить і пов’язує відомі вразливості в ланцюжок швидше й дешевше за людину-пентестера. Звідси конкретний висновок: закривати відомі CVE на публічно доступних сервісах і міняти дефолтні паролі (той самий minioadmin:minioadmin) — зараз не формальність, а те, що реально зупиняє подібні сценарії на найдешевшому для атакувальника кроці.

ДЖЕРЕЛА:SysdigTechCrunch
Поділитися
Зв'язатися:
Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.