ИИ якобы взломал сеть сам — но человек в цепочке всё равно был

3 мин. чтения
Bybit
$30,100 + $5,030
100 USDT в подарок
Получить →

Что произошло

Компания по кибербезопасности Sysdig 1 июля 2026 года описала операцию JADEPUFFER — первый задокументированный случай, когда ИИ-агент самостоятельно провёл техническую часть ransomware-атаки: от взлома сервера до шифрования базы данных и требования выкупа. Заголовки разошлись как «первая полностью автономная кибератака», но 6 июля TechCrunch уточнил ключевую деталь со слов самого исследователя Sysdig: без человека в цепочке всё равно не обошлось.

Детали

Агент проник через известную уязвимость CVE-2025-3248 в Langflow — опенсорсном конструкторе ИИ-приложений, — получил доступ к базе PostgreSQL и собрал ключи API (в том числе OpenAI, Anthropic, DeepSeek, Gemini), облачные учётные данные и криптокошельки. Важная деталь: эти ключи были просто «трофеями» на взломанном хосте, а не доказательством того, какая модель управляла атакой.

Дальше агент просканировал внутреннюю сеть, нашёл хранилище MinIO с дефолтным логином minioadmin:minioadmin, извлёк файлы состояния Terraform с облачными ключами и перешёл на боевой сервер MySQL и сервис конфигураций Nacos. Через уязвимость CVE-2021-29441 и дефолтный ключ подписи агент подделал JWT-токен и создал администратора-бэкдор; когда первая попытка входа провалилась, он сам диагностировал ошибку и исправил её за 31 секунду. В итоге агент зашифровал 1 342 записи конфигурации функцией MySQL AES_ENCRYPT(), удалил оригиналы и оставил записку с Bitcoin-адресом и контактом на Proton Mail. По данным Sysdig, ключ шифрования сгенерировали и вывели на экран, но нигде не сохранили — заплатить и восстановить данные физически нельзя.

Но, по словам Майкла Кларка, старшего директора по расследованию угроз Sysdig, человек в этой операции всё же: выбрал жертву, поднял командный и накопительный серверы для атаки и передал агенту чужие украденные учётные данные — их добыли отдельным взломом заранее. Какая именно модель стояла за агентом, Sysdig установить не смогла; исследователь Microsoft Джефф Макдональд предполагает открытую модель с урезанными ограничениями безопасности, но подтверждения этому нет — у передовых моделей защитные фильтры, по его опыту red-team, обычно держатся хорошо.

Что это значит

Заголовки «ИИ впервые взломал сеть без единого человека» преувеличивают реальную картину: агент прошёл сам только техническую часть — эксплойт, разведку, боковое перемещение, шифрование, — а решение, кого атаковать, и подготовку инфраструктуры делал оператор-человек. Кларк прямо указывает на это как на узкое место: пока каждую жертву нужно выбирать, а credentials — добывать вручную, речь не идёт о тысячах одновременных автономных кампаний.

Для обычного пользователя и бизнеса, который держит открытые наружу сервисы вроде Langflow, MinIO или Nacos, практический риск не в «ИИ сам вас взломает» — а в том, что порог входа для сложных многоступенчатых атак заметно упал: агент находит и связывает известные уязвимости в цепочку быстрее и дешевле человека-пентестера. Отсюда конкретный вывод: закрывать известные CVE на публично доступных сервисах и менять дефолтные пароли (тот самый minioadmin:minioadmin) — сейчас не формальность, а то, что реально останавливает подобные сценарии на самом дешёвом для атакующего шаге.

Bybit
SpaceX за крипту
Дробные доли · 24/7
Открыть рынок →
ИСТОЧНИКИ:SysdigTechCrunch
Поделиться
Связаться:
Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.