Дослідники з компанії хмарної безпеки Sysdig заявили, що задокументували перший відомий випадок «агентного програмного забезпечення-вимагача». Ідеться про операцію вимагання, названу JadePuffer, у якій технічне виконання реальної кібератаки від початку до кінця взяв на себе ШІ-агент, а не людина. Агент проник на вразливий сервер, викрав облікові дані, перемістився мережею жертви, зашифрував файли й навіть склав власну записку з вимогою викупу, пристосовуючись до перешкод так, як це робив би хакер-людина. У низці публікацій операцію описали як таку, що відбувалася «без жодного людського нагляду» та «без людини за клавіатурою».
Що насправді зробила людина
Проте це не зовсім повна картина. В інтервʼю виданню CyberScoop старший директор із дослідження загроз Sysdig Майкл Кларк уточнив, що людина все ж була залучена вагомо — просто не в технічному виконанні. За його словами, людина налаштувала й спрямувала операцію, забезпечила інфраструктуру позаду неї, командно-контрольний сервер, проміжний сервер для викрадених даних та обрала жертву. Облікові дані, використані для проникнення до бази даних жертви, теж не збирав сам ШІ-агент — їх отримали окремо, унаслідок попередньої компрометації, і передали в розпорядження операції.
Технічні деталі атаки
Ніщо з цього не суперечить початковій заяві Sysdig, а технічні деталі атаки лишаються показовими самі собою. Агент проник через відому ваду в Langflow — популярному інструменті з відкритим кодом для створення застосунків на основі великих мовних моделей (LLM), — а потім перейшов до промислового сервера MySQL і скористався ще однією відомою вадою, щоб отримати права адміністратора. Він зашифрував понад 1300 конфігураційних записів і не лише залишив написану ним самим записку з вимогою викупу, а й указав біткоїн-адресу для оплати. Кого саме було атаковано, Sysdig не розкриває.
Використані прийоми, судячи з усього, були доволі звичайними — вирізнялися хіба що швидкість і прозорість дій. Агент виправив невдалий вхід у систему за 31 секунду, увесь час коментуючи власні міркування природною мовою в коді.
Яка модель керувала агентом — невідомо
Одна деталь, яка спершу заплутувала картину, згодом дістала пояснення. Кларк розповів CyberScoop, що Sysdig виявила «використання в атаці кількох моделей», згадавши здобуті ключі для OpenAI, Anthropic, DeepSeek і Gemini. Таке формулювання лишало відкритим питання, чи справді різні моделі активно керували окремими етапами вторгнення. На прохання уточнити Кларк повідомив TechCrunch, що ці ключі були просто частиною викраденого, а не свідченням того, що рухало агентом.
За словами Кларка, агент прочесав хост Langflow у пошуках усього цінного — ключів API постачальників, хмарних облікових даних, криптогаманців і конфігурацій баз даних, — і ключі постачальників стали частиною здобичі. Вони вказують на те, що зловмисник вважав вартим викрадення, але не свідчать, яка модель ухвалювала рішення.
Щодо моделі, яка справді керувала JadePuffer, Кларк зазначив, що Sysdig «не змогла ідентифікувати конкретну модель, що керувала агентом», і не має доступу до її системного промпту чи конфігурації.
Теорія дослідника Microsoft Джеффа Макдональда, висловлена в LinkedIn кілька днів тому, у цьому світлі варта уваги. Макдональд припустив, що за атакою стояла модель із відкритими вагами, з якої зняли захисне навчання, а не передова модель, — з огляду на його власний досвід ред-тимінгу, який показує, що захисні шари провідних лабораторій добре витримують навантаження. Опис самої Sysdig цього не підтверджує, але й не спростовує.
Скільки таких кампаній чекати
У дописі Макдональд також попереджав, що кампанії з поширення програм-вимагачів тепер обмежені передусім бюджетом зловмисника, а не людськими зусиллями, і припустив можливість «тисяч або десятків тисяч одночасних кампаній». Це занепокоєння дещо важче узгодити з тим, що описав Кларк. Якщо людині все ж доводиться обирати кожну жертву, забезпечувати інфраструктуру й діставати облікові дані баз даних для кожної операції, це принаймні певне вузьке місце.
Так чи інакше, за словами Кларка в розмові з CyberScoop, хоча Sysdig поки не бачила, щоб та сама операція вражала інших жертв, з огляду на дешевизну запуску агента він очікує, що це зміниться.

