Що сталося
Компанія з кібербезпеки Sysdig 1 липня 2026 року описала операцію JADEPUFFER — перший задокументований випадок, коли ШІ-агент самостійно провів технічну частину ransomware-атаки: від зламу сервера до шифрування бази даних і вимоги викупу. Заголовки розлетілися як «перша повністю автономна кібератака», але 6 липня TechCrunch уточнив ключову деталь зі слів того самого дослідника Sysdig: без людини в ланцюжку таки не обійшлося.
Деталі
Агент проник через відому вразливість CVE-2025-3248 у Langflow — опенсорсному конструкторі ШІ-застосунків, — отримав доступ до бази PostgreSQL і зібрав ключі API (зокрема OpenAI, Anthropic, DeepSeek, Gemini), облікові дані хмарних сервісів і криптогаманців. Важлива деталь: ці ключі були просто «трофеями» на зламаному хості, а не доказом того, яка саме модель керувала атакою.
Далі агент просканував внутрішню мережу, знайшов сховище MinIO з дефолтним логіном minioadmin:minioadmin, витягнув файли стану Terraform із хмарними ключами і перейшов на бойовий сервер MySQL та сервіс конфігурацій Nacos. Через вразливість CVE-2021-29441 і дефолтний ключ підпису агент підробив JWT-токен і створив адміністратора-бекдор; коли перша спроба входу провалилася, він сам діагностував помилку і виправив її за 31 секунду. У підсумку агент зашифрував 1 342 записи конфігурації функцією MySQL AES_ENCRYPT(), видалив оригінали й залишив записку з Bitcoin-адресою та контактом на Proton Mail. За даними Sysdig, ключ шифрування згенерували й вивели на екран, але ніде не зберегли — заплатити й відновити дані фізично неможливо.
Але, за словами Майкла Кларка, старшого директора з розслідування загроз Sysdig, людина в цій операції все ж таки: обрала жертву, підняла командний і накопичувальний сервери для атаки та передала агенту чужі вкрадені облікові дані — їх здобули окремим зламом заздалегідь. Яка саме модель стояла за агентом, Sysdig встановити не змогла; дослідник Microsoft Джефф Макдональд припускає відкриту модель з урізаними обмеженнями безпеки, але підтвердження цьому немає — у передових моделей захисні фільтри, за його досвідом red-team, зазвичай тримаються добре.
Що це означає
Заголовки «ШІ вперше зламав мережу без жодної людини» перебільшують реальну картину: агент пройшов сам лише технічну частину — експлойт, розвідку, бокове переміщення, шифрування, — а рішення, кого атакувати, і підготовку інфраструктури робив оператор-людина. Кларк прямо вказує на це як на вузьке місце: поки кожну жертву треба обирати, а credentials — здобувати вручну, мова не йде про тисячі одночасних автономних кампаній.
Для звичайного користувача і бізнесу, який тримає відкриті назовні сервіси на кшталт Langflow, MinIO чи Nacos, практичний ризик не в тому, що «ШІ сам вас зламає», а в тому, що поріг входу для складних багатоступеневих атак помітно впав: агент знаходить і пов’язує відомі вразливості в ланцюжок швидше й дешевше за людину-пентестера. Звідси конкретний висновок: закривати відомі CVE на публічно доступних сервісах і міняти дефолтні паролі (той самий minioadmin:minioadmin) — зараз не формальність, а те, що реально зупиняє подібні сценарії на найдешевшому для атакувальника кроці.
