- PVSM.RU - https://www.pvsm.ru -

Первая полностью автономная атака AI-агента: что произошло и как защититься

Первая полностью автономная атака AI-агента: что произошло и как защититься - 1

Исследователи Sysdig описали первую в истории полностью автономную атаку программы-вымогателя, выполненную AI-агентом без участия человека. Разбираем, как была построена цепочка компрометации, почему этот кейс важен для всех AI-агентов и какие меры помогут снизить риск подобных атак.

Sysdig — компания, создавшая популярный open source-инструмент Falco для обеспечения безопасности устройств на Linux, контейнеров и облачных сред.

Используйте навигацию, если не хотите читать текст полностью:
Первая полностью автономная атака AI-агента: что произошло и как защититься - 2

Информационная безопасность как услуга

Предоставляем ИТ-инфраструктуру для проектов с повышенными требованиями безопасности, а также сервисы для защиты сетей, ОС и приложений.

Подробнее → [6]

Как была проведена атака

Исследователи Sysdig обнаружили, что AI-агент на базе LLM самостоятельно выполнил полный цикл атаки: проникновение в систему, кражу учетных данных, перемещение внутри сети, шифрование и уничтожение базы данных организации.

Точкой входа послужила давно исправленная, но все еще широко распространенная уязвимость CVE-2025-3248 в Langflow — популярном инструменте с открытым исходным кодом для построения AI-приложений. Наличие уязвимости и отсутствие дополнительных мер безопасности (сервер с Langflow был доступен из интернета) позволяли любому атакующему, имеющему доступ к серверу, выполнять произвольный Python-код без входа в систему.

Langflow-серверы представляют собой привлекательную цель, поскольку часто остаются открытыми в интернете и содержат ключи API и учетные данные для подключенных сервисов.

Цепочка заражения

Получив доступ, AI-агент действовал быстро и методично. Он просканировал систему и собрал конфиденциальные данные: API-ключи AI-сервисов (OpenAI, Anthropic, DeepSeek, Gemini), облачные учетные данные (Alibaba, Tencent, AWS, Google, Azure), ключи криптокошельков и логины к базам данных.

Агент обнаружил и «взломал» сервер MinIO, используя стандартные учетные данные по умолчанию (minioadmin:minioadmin), которые так и не были изменены владельцем сервера. Он также установил механизм постоянного доступа, добавив запланированную задачу, которая отправляла сигнал на сервер атакующего каждые 30 минут.

Затем AI-агент переключился на основную цель — отдельный сервер с MySQL-базой данных. Используя уязвимость обхода аутентификации CVE-2021-29441 и стандартный ключ сервиса Nacos, который не менялся с 2020 года, AI-агент вошел в систему как администратор.

Уничтожение без возможности восстановления

Агент зашифровал все 1342 настройки Nacos, удалил исходные таблицы и оставил записку с требованием выкупа в биткоинах. Однако ключ шифрования, сгенерированный AI-агентом, был выведен на экран один раз и при этом не был сохранен или отправлен на сервер злоумышленников. Таким образом, восстановление данных было бы невозможно даже при условии оплаты.

Несмотря на заявления в записке о шифровании AES-256, исследователи Sysdig отмечают, что используемый инструмент по умолчанию применяет более слабое шифрование AES-128. После шифрования агент удалил базы данных, оставив в своем коде комментарий о якобы скопированных данных, что также не подтвердилось.

Как эксперты определили, что атаку вел AI-агент

Ключевым признаком стало содержимое кода атаки. Вредоносный код содержал подробные пояснения на естественном языке, объясняющие каждый шаг — характерный признак работы языковой модели, которую вряд ли бы оставил «человек-хакер».

Агент также исправлял собственные ошибки со скоростью машины. В одном случае он перешел от неудачной попытки входа к правильному многошаговому исправлению за 31 секунду, диагностировав точную причину сбоя вместо слепых повторных попыток. Всего Sysdig зафиксировала использование более 600 отдельных эксплойтов.

И еще одна любопытная деталь: биткоин-адрес в записке о выкупе совпадал с примером из документации разработчиков Bitcoin. Он встречается в миллионах текстов, на которых обучались модели. Специалисты Sysdig не смогли определить, использовала ли модель знакомый адрес случайно или злоумышленник, который управлял AI-агентом, намеренно выбрал такой кошелек.

JADEPUFFER — очередной шаг в быстро развивающемся ландшафте AI-атак. Если в прошлом результат работы ИИ использовался злоумышленниками для создания фишинговых писем и дипфейков, то теперь AI-агенты под управлением злоумышленников самостоятельно создают эксплойты, шифруют данные и уничтожают инфраструктуру.

Рекомендации для защиты

Поскольку теперь злоумышленники могут значительно дешевле создавать AI-агентов, атакующих системы по всему интернету, рекомендуем уделить особое внимание многоуровневой сегментации ИТ-инфраструктуры (об этом мы подробно рассказывали на вебинаре [7]).

Схема «эшелонированной защиты».

Схема «эшелонированной защиты».

Использование ИИ позволяет злоумышленникам за считаные часы превращать информацию о новой уязвимости в готовый эксплойт. По этой причине организациям стоит уделять больше внимания мониторингу информационной безопасности [8] и выявлению подозрительной активности в сетевом трафике и на серверах. Это важно делать с помощью сетевых и хостовых систем обнаружения и предотвращения вторжений (IDS/IPS), а не полагаться исключительно на скорость, с которой DevOps-администраторы успевают устанавливать обновления безопасности.

Если хотите глубже разобраться в практических инструментах защиты, рекомендуем наш подробный справочник по Wazuh [9]. В нем рассмотрели архитектуру платформы, настройку SIEM, сбор и анализ логов, правила корреляции, контроль целостности файлов, обнаружение уязвимостей и другие возможности для мониторинга безопасности инфраструктуры.

Автор: TrexSelectel

Источник [10]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/bezopasnost/454705

Ссылки в тексте:

[1] Как была проведена атака: #1

[2] Цепочка заражения: #2

[3] Уничтожение без возможности восстановления: #3

[4] Как эксперты определили, что атаку вел AI-агент: #4

[5] Рекомендации для защиты: #5

[6] Подробнее →: https://selectel.ru/services/is/?utm_source=habr.com&utm_medium=referral&utm_campaign=cloud_article_jadepuffer_070726_banner_ord

[7] на вебинаре: https://selectel.ru/blog/events/security-plan/

[8] информационной безопасности: https://selectel.ru/services/is/?utm_source=habr.com&utm_medium=referral&utm_campaign=cloud_article_jadepuffer_070726_content

[9] наш подробный справочник по Wazuh: https://selectel.ru/blog/wazuh-siem

[10] Источник: https://habr.com/ru/companies/selectel/articles/1056520/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1056520