Первая полностью автономная атака AI-агента: исследование Sysdig - Академия Selectel

Первая полностью автономная атака AI-агента: исследование Sysdig

Андрей Давид
Андрей Давид Руководитель продуктов клиентской безопасности
6 июля 2026

Рассказываем об исследовании нового этапа развития автоматизированных кибератак.

Изображение записи

Компания Sysdig (создатель популярного open source-инструмента Falco для обеспечения безопасности устройств на Linux, контейнеров и облачных сред) сообщила об обнаружении первой в истории атаки программы-вымогателя, выполненной от начала до конца AI-агентом без участия человека. Операция, получившая название JADEPUFFER, продемонстрировала новый уровень автоматизации кибератак.

Как была проведена атака

Исследователи Sysdig обнаружили, что AI-агент на базе LLM самостоятельно выполнил полный цикл атаки: проникновение в систему, кражу учетных данных, перемещение внутри сети, шифрование и уничтожение базы данных организации.

Точкой входа послужила давно исправленная, но все еще широко распространенная уязвимость CVE-2025-3248 в Langflow — популярном инструменте с открытым исходным кодом для построения AI-приложений. Наличие уязвимости и отсутствие дополнительных мер безопасности (сервер с Langflow был доступен из интернета) позволяли любому атакующему, имеющему доступ к серверу, выполнять произвольный Python-код без входа в систему.

Langflow-серверы представляют собой привлекательную цель, поскольку часто остаются открытыми в интернете и содержат ключи API и учетные данные для подключенных сервисов.

Цепочка заражения

Получив доступ, AI-агент действовал быстро и методично. Он просканировал систему и собрал конфиденциальные данные: API-ключи AI-сервисов (OpenAI, Anthropic, DeepSeek, Gemini), облачные учетные данные (Alibaba, Tencent, AWS, Google, Azure), ключи криптокошельков и логины к базам данных.

Агент обнаружил и «взломал» сервер MinIO, используя стандартные учетные данные по умолчанию (minioadmin:minioadmin), которые так и не были изменены владельцем сервера. Он также установил механизм постоянного доступа, добавив запланированную задачу, которая отправляла сигнал на сервер атакующего каждые 30 минут.

Затем AI-агент переключился на основную цель — отдельный сервер с MySQL-базой данных. Используя уязвимость обхода аутентификации CVE-2021-29441 и стандартный ключ сервиса Nacos, который не менялся с 2020 года, AI-агент вошел в систему как администратор.

Уничтожение без возможности восстановления

Агент зашифровал все 1342 настройки Nacos, удалил исходные таблицы и оставил записку с требованием выкупа в биткоинах. Однако ключ шифрования, сгенерированный AI-агентом, был выведен на экран один раз и при этом не был сохранен или отправлен на сервер злоумышленников. Таким образом, восстановление данных было бы невозможно даже при условии оплаты.

Несмотря на заявления в записке о шифровании AES-256, исследователи Sysdig отмечают, что используемый инструмент по умолчанию применяет более слабое шифрование AES-128. После шифрования агент удалил базы данных, оставив в своем коде комментарий о якобы скопированных данных, что также не подтвердилось.

Как эксперты определили, что атаку вел AI-агент

Ключевым признаком стало содержимое кода атаки. Вредоносный код содержал подробные пояснения на естественном языке, объясняющие каждый шаг — характерный признак работы языковой модели, которую вряд ли бы оставил «человек-хакер».

Агент также исправлял собственные ошибки со скоростью машины. В одном случае он перешел от неудачной попытки входа к правильному многошаговому исправлению за 31 секунду, диагностировав точную причину сбоя вместо слепых повторных попыток. Всего Sysdig зафиксировала использование более 600 отдельных эксплойтов.

И еще одна любопытная деталь: биткоин-адрес в записке о выкупе совпадал с примером из документации разработчиков Bitcoin. Он встречается в миллионах текстов, на которых обучались модели. Специалисты Sysdig не смогли определить, использовала ли модель знакомый адрес случайно или злоумышленник, который управлял AI-агентом, намеренно выбрал такой кошелек.

JADEPUFFER — очередной шаг в быстро развивающемся ландшафте AI-атак. Если в прошлом результат работы ИИ использовался злоумышленниками для создания фишинговых писем и дипфейков, то теперь AI-агенты под управлением злоумышленников самостоятельно создают эксплойты, шифруют данные и уничтожают инфраструктуру.

Рекомендации для защиты

Поскольку теперь злоумышленники могут значительно дешевле создавать AI-агентов, атакующих системы по всему интернету, рекомендуем уделить особое внимание многоуровневой сегментации ИТ-инфраструктуры (об этом мы подробно рассказывали на вебинаре).

Схема «эшелонированной защиты».
Схема «эшелонированной защиты».

Использование ИИ позволяет злоумышленникам за считаные часы превращать информацию о новой уязвимости в готовый эксплойт. По этой причине организациям стоит уделять больше внимания мониторингу ИБ и выявлению подозрительной активности в сетевом трафике и на серверах. Это важно делать с помощью сетевых и хостовых систем обнаружения и предотвращения вторжений (IDS/IPS), а не полагаться исключительно на скорость, с которой DevOps-администраторы успевают устанавливать обновления безопасности.

Если хотите глубже разобраться в практических инструментах защиты, рекомендуем наш подробный справочник по Wazuh. В нем рассмотрели архитектуру платформы, настройку SIEM, сбор и анализ логов, правила корреляции, контроль целостности файлов, обнаружение уязвимостей и другие возможности для мониторинга безопасности инфраструктуры.