Перша автономна атака ШІ програми-вимагача потребувала контролю людини

08-07-2026 09:14
news-image

Дослідники з компанії Sysdig, що займається хмарною безпекою, заявили, що вони задокументували перший відомий випадок «агентського програмного забезпечення-вимагача». Це була операція з вимагання під назвою JadePuffer, в якій агент штучного і нтелекту, а не людина, керував технічним виконанням реальної кібератаки від початку до кінця.Агент зламав вразливий сервер, вкрав облікові дані, переміщався через мережу цілі, шифрував файли і навіть писав власну записку з вимогою викупу, адаптуючись до перешкод на шляху, як це зробив би хакер-людина. У висвітленні фінансування це описувалося як операцію, що проводилася «без будь-якого людського нагляду», без «людини за клавіатурою».

Це не зовсім повна картина. В інтерв'ю CyberScoop у понеділок Майкл Кларк з Sysdig, старший директор компанії з дослідження загроз, уточнив, що людина все ще була дуже залучена — просто не в технічне виконання. «Людина все одно налаштувала та скерувала операцію, забезпечила інфраструктуру, що стоїть за нею, сервер командування та управління, проміжний сервер, який використовувався для викрадених даних, і вибрала жертву», — сказав Кларк. Він додав, що облікові дані, використані для злому бази даних жертви, не були зібрані самим агентом штучного інтелекту; хтось отримав їх окремо, шляхом попередньої компрометації, і передав їх операції.

Ніщо з цього не суперечить початковій заяві Sysdig, і технічні деталі атаки залишаються самі по собі примітними — навіть неймовірними. Агент проник через відому помилку в Langflow , популярному інструменті з відкритим кодом для створення LLM-додатків, потім перейшов на робочий сервер MySQL та використав іншу відому недолік, щоб отримати доступ адміністратора. Він зашифрував понад 1300 записів конфігурації та не лише залишив записку з вимогою викупу, яку написав сам, але й залишив адресу Bitcoin, на яку можна було надіслати викуп. Sysdig не розкрила, хто був ціллю атаки.

Методи, очевидно, були досить звичайними, але вражала швидкість і прозорість. Агент виправив невдалий вхід за 31 секунду, весь час пояснюючи власні міркування у вигляді коментарів коду природною мовою.

Одна деталь, яка спочатку здавалася заплутаною, згодом була прояснена. Кларк повідомив CyberScoop, що Sysdig виявив, що «в атаці було використано кілька моделей», посилаючись на зібрані ключі для OpenAI, Anthropic, DeepSeek та Gemini — формулювання, яке залишило відкритим питання про те, чи кілька моделей активно забезпечували різні етапи вторгнення. На прохання про уточнення Кларк сказав TechCrunch, що ці ключі були просто частиною того, що вкрав агент, а не доказом того, що було рушійною силою атаки.

«Агент перешукав на хості Langflow все цінне — ключі API постачальника, хмарні облікові дані, криптовалютні гаманці та конфігурації бази даних — і ці ключі постачальника були частиною здобичі», — сказав він електронною поштою. «Вони вказують на те, що зловмисник вважав за потрібне викрасти, але вони не повідомляють нам, яка модель приймала рішення».

Щодо моделі, на якій фактично працює JadePuffer, Кларк сказав, що Sysdig «не зміг ідентифікувати конкретну модель, яка керує агентом», і не має доступу до його системного запиту чи конфігурації.

У цьому світлі варто переглянути теорію дослідника Microsoft Джеффа Макдональда, запропоновану на LinkedIn кілька днів тому. Макдональд підозрював, що за атакою стояла модель відкритої ваги без навчання з техніки безпеки, а не модель фронтиру, спираючись на власний досвід роботи в червоних командах, який показав, що рівні безпеки фронтируючих лабораторій добре працюють. Сам Сісдіг цього не підтверджує і не виключає.

У дописі McDonald's також попереджалося, що кампанії з вимагання програм тепер обмежені переважно бюджетом зловмисника, а не людськими зусиллями, що підвищує ймовірність «тисяч або десятків тисяч одночасних кампаній». Це занепокоєння трохи важче узгодити з тим, що Кларк описав у понеділок. (Якщо людині все ще доводиться вибирати кожну жертву, надавати інфраструктуру та отримувати облікові дані бази даних для кожної операції, це, принаймні, є певним вузьким місцем.)

У будь-якому разі, Кларк розповів CyberScoop, що хоча Сісдіг ще не бачив, щоб подібна операція торкнулася інших жертв, враховуючи те, наскільки дешево керувати агентом, він очікує, що це зміниться.

Источник: internetua