Исследователи раскрыли первую ИИ-атаку с программой-вымогателем: агент действовал автономно, но человек все еще был нужен
На прошлой неделе исследователи из компании по облачной безопасности Sysdig заявили, что задокументировали первый известный случай «агентного вымогательского ПО». Речь шла об операции вымогательства, получившей название JadePuffer, в ходе которой ИИ-агент, а не человек, самостоятельно выполнил все технические этапы реальной кибератаки: от проникновения на уязвимый сервер и кражи учетных данных до перемещения по сети жертвы, шифрования файлов и даже написания собственной записки с требованием выкупа, адаптируясь к препятствиям, как это сделал бы хакер-человек. Сообщалось, что атака была проведена «без какого-либо контроля со стороны человека» и «без человека за клавиатурой».
Однако это не совсем полная картина. В интервью CyberScoop в понедельник Майкл Кларк, старший директор по исследованию угроз Sysdig, уточнил, что человек все еще был вовлечен в процесс, но не в техническую реализацию. «Человек все еще настраивал и направлял операцию, обеспечивал инфраструктуру для нее: сервер управления и контроля, промежуточный сервер для украденных данных и выбирал жертву», — сказал Кларк. Он добавил, что учетные данные, использованные для взлома базы данных жертвы, были добыты не самим ИИ-агентом; кто-то получил их отдельно, в ходе предыдущей компрометации, и передал их в операцию.
Ничто из этого не противоречит первоначальному заявлению Sysdig, и технические детали атаки остаются примечательными сами по себе. Агент проник в систему через известную уязвимость в Langflow, популярном инструменте с открытым исходным кодом для создания LLM-приложений, затем перешел на рабочий сервер MySQL и использовал другую известную уязвимость для получения прав администратора. Он зашифровал более 1300 записей конфигурации и не только оставил записку с требованием выкупа, которую написал сам, но и указал биткоин-адрес для отправки выкупа. Sysdig не раскрывает, кто был целью атаки.
Используемые методы были, по-видимому, довольно обычными, но впечатляли скорость и прозрачность. Агент исправил неудачную попытку входа в систему за 31 секунду, комментируя свои действия на естественном языке в коде.
Одна деталь, которая изначально вносила путаницу, была прояснена. Кларк ранее сообщил CyberScoop, что Sysdig обнаружил «использование нескольких моделей в атаке», ссылаясь на украденные ключи доступа к OpenAI, Anthropic, DeepSeek и Gemini. Это наводило на мысль, что несколько моделей активно управляли разными этапами взлома. Однако, отвечая на уточняющий вопрос TechCrunch, Кларк пояснил, что эти ключи были просто частью того, что украл агент, а не свидетельством того, какая модель управляла им.
«Агент просканировал хост Langflow на предмет всего ценного — ключей API провайдеров, облачных учетных данных, криптовалютных кошельков и конфигураций баз данных, — и эти ключи провайдеров были частью добычи», — сказал он в электронном письме. «Они указывают на то, что злоумышленник счел ценным, но не сообщают нам, какая модель принимала решения».
Что касается модели, которая фактически управляла JadePuffer, Кларк заявил, что Sysdig «не смог идентифицировать конкретную модель, управлявшую агентом», и не имеет информации о ее системном промпте или конфигурации.
В этом свете стоит пересмотреть теорию исследователя Microsoft Джеффа Макдональда, высказанную им в LinkedIn несколько дней назад. Основываясь на собственном опыте тестирования на проникновение, показавшем, что защитные механизмы ведущих лабораторий работают хорошо, Макдональд предположил, что за атакой стояла модель с открытым весом, лишенная защиты безопасности, а не передовая модель. Собственный отчет Sysdig не подтверждает и не опровергает это.
В своем посте Макдональд также предупредил, что кампании с программами-вымогателями теперь ограничены в первую очередь бюджетом злоумышленника, а не человеческими усилиями, что открывает возможность для «тысяч или десятков тысяч одновременных кампаний». Это опасение несколько сложнее согласовать с тем, что Кларк описал в понедельник (по крайней мере, если человеку все еще нужно выбирать каждую жертву, обеспечивать инфраструктуру и получать учетные данные базы данных для каждой операции, это создает узкое место).
Как бы то ни было, Кларк сообщил CyberScoop, что, хотя Sysdig еще не видел, чтобы та же операция поразила других жертв, учитывая низкую стоимость запуска агента, он ожидает, что это изменится.

0 комментариев