Что произошло
Компания по кибербезопасности Sysdig 1 июля 2026 года описала операцию JADEPUFFER — первый задокументированный случай, когда ИИ-агент самостоятельно провёл техническую часть ransomware-атаки: от взлома сервера до шифрования базы данных и требования выкупа. Заголовки разошлись как «первая полностью автономная кибератака», но 6 июля TechCrunch уточнил ключевую деталь со слов самого исследователя Sysdig: без человека в цепочке всё равно не обошлось.
Детали
Агент проник через известную уязвимость CVE-2025-3248 в Langflow — опенсорсном конструкторе ИИ-приложений, — получил доступ к базе PostgreSQL и собрал ключи API (в том числе OpenAI, Anthropic, DeepSeek, Gemini), облачные учётные данные и криптокошельки. Важная деталь: эти ключи были просто «трофеями» на взломанном хосте, а не доказательством того, какая модель управляла атакой.
Дальше агент просканировал внутреннюю сеть, нашёл хранилище MinIO с дефолтным логином minioadmin:minioadmin, извлёк файлы состояния Terraform с облачными ключами и перешёл на боевой сервер MySQL и сервис конфигураций Nacos. Через уязвимость CVE-2021-29441 и дефолтный ключ подписи агент подделал JWT-токен и создал администратора-бэкдор; когда первая попытка входа провалилась, он сам диагностировал ошибку и исправил её за 31 секунду. В итоге агент зашифровал 1 342 записи конфигурации функцией MySQL AES_ENCRYPT(), удалил оригиналы и оставил записку с Bitcoin-адресом и контактом на Proton Mail. По данным Sysdig, ключ шифрования сгенерировали и вывели на экран, но нигде не сохранили — заплатить и восстановить данные физически нельзя.
Но, по словам Майкла Кларка, старшего директора по расследованию угроз Sysdig, человек в этой операции всё же: выбрал жертву, поднял командный и накопительный серверы для атаки и передал агенту чужие украденные учётные данные — их добыли отдельным взломом заранее. Какая именно модель стояла за агентом, Sysdig установить не смогла; исследователь Microsoft Джефф Макдональд предполагает открытую модель с урезанными ограничениями безопасности, но подтверждения этому нет — у передовых моделей защитные фильтры, по его опыту red-team, обычно держатся хорошо.
Что это значит
Заголовки «ИИ впервые взломал сеть без единого человека» преувеличивают реальную картину: агент прошёл сам только техническую часть — эксплойт, разведку, боковое перемещение, шифрование, — а решение, кого атаковать, и подготовку инфраструктуры делал оператор-человек. Кларк прямо указывает на это как на узкое место: пока каждую жертву нужно выбирать, а credentials — добывать вручную, речь не идёт о тысячах одновременных автономных кампаний.
Для обычного пользователя и бизнеса, который держит открытые наружу сервисы вроде Langflow, MinIO или Nacos, практический риск не в «ИИ сам вас взломает» — а в том, что порог входа для сложных многоступенчатых атак заметно упал: агент находит и связывает известные уязвимости в цепочку быстрее и дешевле человека-пентестера. Отсюда конкретный вывод: закрывать известные CVE на публично доступных сервисах и менять дефолтные пароли (тот самый minioadmin:minioadmin) — сейчас не формальность, а то, что реально останавливает подобные сценарии на самом дешёвом для атакующего шаге.



