ИИ-агент довёл атаку-вымогателя до выкупа

Исследователи Sysdig описали, похоже, первый случай, когда автономный ИИ-агент почти без участия человека провёл полноценную атаку с шифровальщиком. По их данным, операция JadePuffer прошла весь путь — от первоначального проникновения до закрепления, перемещения по инфраструктуре и требования выкупа. Если атрибуция подтвердится, это уже не история про генерацию вредоносного кода по подсказке, а попытка отдать машине саму логику атаки.
Атака стартовала с эксплуатации CVE-2025-3248 в Langflow, открытом фреймворке для сборки приложений на базе больших языковых моделей. Дыру удалённого выполнения кода закрыли ещё в апреле 2025 года, но потом её внесли в каталог активно эксплуатируемых уязвимостей CISA. Обычно после такого патч до части компаний так и не доезжает до продакшена. После входа в систему JadePuffer занялся тем, что чаще делает уже не одиночный скрипт, а оператор вымогателя: собрал данные о хостах, нашёл учётные данные и чувствительные файлы, вытащил облачные секреты и принялся копаться во внутренних хранилищах.
Самая интересная деталь в отчёте Sysdig связана не с самим проникновением, а с тем, как агент вёл себя уже внутри. Работая с объектным хранилищем MinIO, он наткнулся на неожиданный XML-ответ, не завис и тут же поменял способ обработки данных. В другом эпизоде он исправил ошибку аутентификации за 31 секунду, без помощи оператора. Для обычного вредоноса это звучит странно: классические шифровальщики на нестандартном ответе часто ломаются или требуют ручной доводки.
Дальше цепочка стала ещё ближе к привычной схеме атак вымогателей. JadePuffer закрепился через cron-задания, потом переключился на производственный сервер с Alibaba Nacos и использовал старую уязвимость CVE-2021-29441. Затем агент создал поддельные административные учётные записи и получил полный контроль над системой конфигурации. Финал получился вполне ожидаемым для такого сценария: шифрование 1342 записей Nacos, удаление исходных данных и требование выкупа в биткоинах.
Почему исследователи заподозрили именно ИИ
Sysdig приводит несколько признаков, которые плохо вяжутся с почерком обычной вымогательской группы и лучше объясняются автоматической генерацией. Вредоносный код был слишком разговорчивым: в комментариях он буквально разъяснял собственную логику. Для преступников это лишний шум и лишние следы. Для LLM-подобных систем — вполне обычная манера.
Кошелёк для выкупа тоже выглядел подозрительно. По данным исследователей, раньше он встречался только как пример в технической документации, а не в реальных кампаниях шифровальщиков. Похоже на ситуацию, когда агент или его авторы берут шаблон из учебника и забывают заменить его на рабочую инфраструктуру. В ИИ-сгенерированных фишинговых кампаниях такое уже бывало: текст гладкий, а вот операционные детали местами совсем игрушечные.
Есть и технические нестыковки. Программа заявляла, что использует AES-256, но анализ показал: реальная схема, вероятно, ближе к AES-128 в режиме ECB. Для криптографии это почти комичный промах — вывеска одна, начинка другая. Именно такие расхождения, когда код звучит убедительно, а реализован упрощённо, аналитики всё чаще связывают с побочными эффектами ИИ-генерации.
И ещё важная деталь — то, чего в этой истории нет. JadePuffer не придумал новую дыру, не обошёл неизвестную защиту и не показал ничего похожего на «сверхразум». Он использовал уже известные уязвимости и обычные техники постэксплуатации. Но автоматизация всего цикла меняет экономику атак: если раньше на каждом этапе нужен был человек, то теперь часть рутины может взять на себя агент, который не устаёт, не путается в командах и быстро перебирает варианты.
Рынок к этому сам подталкивает. По оценке Chainalysis, в 2024 году платежи вымогателям снизились до примерно 814 млн долларов после рекордного 2023-го, но число инцидентов никуда не делось, а сами атаки стали более дробными и автоматизированными. В 2025 году Google Project Zero и OpenAI уже показывали, что агентные системы неплохо справляются с поиском уязвимостей и написанием эксплуатационного кода в лабораторных условиях. В случае JadePuffer разница в том, что здесь ИИ, по версии исследователей, перешёл из режима помощника в режим оператора.
К такому сценарию защитники, в общем-то, готовились заранее. Microsoft, CrowdStrike и Palo Alto Networks весь последний год встраивали в свои платформы агентные функции для расследования инцидентов и автоматического реагирования. Логика простая: если у защитника появляется ИИ-помощник, то у нападающего рано или поздно тоже появится. Поэтому история Sysdig выглядит не как сенсация из ниоткуда, а как ранний сигнал, что гонка автоматизации добралась и до шифровальщиков.
Для компаний практический вывод довольно приземлённый. Обе уязвимости в этой цепочке были известны задолго до атаки, значит, первая линия обороны всё та же: патчи, контроль секретов, изоляция сервисов и мониторинг необычных действий в системах конфигурации и хранилищах. Просто теперь защитникам придётся искать не только знакомые сигнатуры вымогателей, но и странные следы машинной импровизации — слишком разговорчивый код, шаблонные артефакты и нелепые операционные решения, которые человек обычно бы не оставил.
Если выводы Sysdig не опровергнут, 2026 год может стать точкой, где агентный ИИ закрепится в отчётах по киберугрозам уже не как лабораторный эксперимент, а как рабочий инструмент атакующих. Следующий шаг понятен: массовые кампании, где один оператор запускает не одну такую цепочку, а десятки. Насколько быстро это случится, зависит не от качества моделей, а от куда более скучной вещи — сколько компаний ещё держат в сети сервисы с давно закрытыми CVE.



