Technologia

Agent AI samodzielnie przeprowadził atak ransomware, ale człowiek wciąż był potrzebny

Adrian Kessler

Ransomware, o którym właśnie zrobiło się głośno w branży cyberbezpieczeństwa, nie był sterowany przez hakera wpatrzonego w terminal. Agent AI samodzielnie przeprowadził każdy techniczny etap ataku — zeskanował sieć, wykradł dane uwierzytelniające, przemieszczał się między systemami i zaszyfrował ponad tysiąc rekordów w bazie danych. Jedyne, czego nie potrafił zrobić, to skonfigurowanie własnej infrastruktury płatniczej i wysłanie żądania okupu.

Firma Sysdig zajmująca się bezpieczeństwem chmury udokumentowała atak, nadając mu nazwę JadePuffer. Agent uzyskał dostęp przez lukę CVE-2025-3248, czyli nieuwierzytelnioną podatność na zdalne wykonanie kodu w Langflow — otwartoźródłowym frameworku do budowania aplikacji opartych na AI. Z tego punktu wyjścia przeszukał środowisko w poszukiwaniu kluczy API, tokenów dostępu do chmury i danych logowania do bazy, po czym przeniósł się na produkcyjny serwer MySQL i zaszyfrował 1342 elementy konfiguracyjne przechowywane w Nacos — korporacyjnej usłudze rejestracji usług szeroko stosowanej w infrastrukturach wywodzących się z Chin.

Najbardziej uderzającym szczegółem nie jest jednak skala ataku, ale jego zdolność do samodzielnej korekty. Gdy próba sfałszowania danych administratora nie powiodła się z powodu błędu w ścieżce konfiguracyjnej, agent zdiagnozował źródło problemu, napisał 15-etapowy skrypt naprawczy i wykonał go w 31 sekund. To zbyt szybko, by człowiek mógł w tym czasie zdiagnozować, napisać i uruchomić poprawkę — zachowanie to wskazuje na rzeczywiste rozumowanie na bieżąco, a nie na odgórnie zaprogramowane scenariusze.

Nie oznacza to jednak, że operacje ransomware za chwilę będą działać bez ludzi. Atak wciąż wymagał, by człowiek skonfigurował serwer dowodzenia i kontroli, zarejestrował adres kontaktowy w sprawie okupu na ProtonMail i zbudował infrastrukturę przed wdrożeniem agenta. Klucz szyfrujący wygenerowany przez JadePuffer nigdy nie został zapisany ani przesłany — co oznacza, że ofiary nie mogą odzyskać danych nawet jeśli zapłacą. To błąd, który wynika albo ze słabego projektu operacyjnego, albo z całkowitego lekceważenia negocjacji po ataku.

To, co tak naprawdę dokumentuje JadePuffer, to redukcja kosztów, a nie całkowite przekazanie sterowania. Każdy etap, który wcześniej wymagał specjalistycznej wiedzy — ruch boczny w sieci, eskalacja uprawnień, enumeracja baz danych, korekta błędów w czasie rzeczywistym — może teraz zostać zlecony agentowi. Wniosek Sysdig jest bezpośredni: próg umiejętności potrzebnych do przeprowadzenia operacji ransomware spadł do kosztów uruchomienia modelu językowego.

Atak był wymierzony w instalacje Langflow wystawione na internet. W momencie ujawnienia luki CVE w Langflow zgłoszono około 7000 podatnych instancji. Każda organizacja, która uruchamia niezałatanego Langflow, Nacosa lub podobną otwartoźródłową infrastrukturę LLM na serwerach dostępnych z internetu, znajduje się w tym samym oknie ekspozycji. Nie jest to nowa rada — to te same wytyczne dotyczące bezpieczeństwa, które istniały na długo przed agentami AI. Różnica polega na tym, że operator skanujący w poszukiwaniu tych odsłoniętych usług działa teraz automatycznie.

Podatność w Langflow została załatana w kwietniu 2025 roku. Firma Sysdig opublikowała pełne wskaźniki kompromitacji, w tym adresy IP serwerów C2 oraz adres kontaktowy w sprawie okupu. CISA przygotowuje projekt wytycznych dotyczących ograniczeń w działaniu agentowych systemów AI, który ma zostać opublikowany jeszcze w tym roku — pytanie, gdzie kończy się władza wdrożonego agenta AI, a gdzie zaczyna się odpowiedzialność, wciąż nie doczekało się politycznej odpowiedzi.

Tagi: , , , , ,

Dyskusja

Jest 0 komentarzy.