Миналата седмица изследователи от компанията за облачна сигурност Sysdig съобщиха, че са документирали първия известен случай на „агентен рансъмуер“ (agentic ransomware). При операцията за изнудване, наречена JadePuffer, техническото изпълнение на кибератаката е извършено от AI агент, вместо от човек.

Машината е проникнала в уязвим сървър, откраднала е данни, придвижвала се е в мрежата на целта, криптирала е файлове и самостоятелно е съставила бележката с искането за откуп. Изкуственият интелект се е адаптирал към възникналите препятствия по начин, подобен на действията на реален хакер.

TechCrunch отбелязва, че първоначалните медийни съобщения създават тревожно впечатление за атака, извършена „без никакъв човешки надзор“ и „без човек пред екрана“.

Въпреки това толкова ли е критична действителната ситуация?

Според изданието ситуацията е по-различна. Майкъл Кларк, старши директор по изследване на заплахите в Sysdig, уточнява, че човек е участвал активно, макар и не в техническото изпълнение.

Хакери са изградили инфраструктурата, конфигурирали са командните сървъри, избрали са жертвата и са предоставили първоначалните данни за достъп (придобити при предишен пробив). След това са активирали AI агента.

Въпреки това техническите детайли на атаката са безпрецедентни. Анализът на TechCrunch показва, че автономният агент е проникнал чрез известна уязвимост в Langflow (популярен инструмент за създаване на LLM приложения), след което е преминал към MySQL сървър и е използвал друг бъг, за да получи администраторски достъп.

AI агентът е криптирал над 1300 конфигурационни записа. Той е генерирал сам текста за откупа и е оставил Биткойн адрес за плащане. Най-значимото в случая не са самите хакерски техники, които са сравнително стандартни, а скоростта и прозрачността на действията му. При неуспешен опит за влизане машината е анализирала грешката и я е отстранила за 31 секунди, като през цялото време е описвала логиката си с коментари на естествен език в кода.

Първоначално е възникнало объркване, че в атаката са участвали няколко различни езикови модела, тъй като експертите са открили ключове за достъп до OpenAI, Anthropic, DeepSeek и Gemini. Кларк обаче уточнява пред TechCrunch, че тези ключове не са управлявали атаката, а са били част от „плячката“.

„Агентът е претърсил сървърите за всичко ценно – API ключове, облачни идентификационни данни, крипто портфейли и конфигурации на бази данни. Тези ключове просто показват какво нападателят е смятал за ценно, но не разкриват кой модел е вземал решенията“, обяснява той.

Към момента конкретният AI двигател, използван за JadePuffer, остава неизвестен.

Джеф Макдоналд, изследовател от Microsoft, предлага интересна теория. Според него зад тези атаки вероятно стои модел с отворен код, от който са премахнати филтрите за безопасност, тъй като защитите на водещите комерсиални модели трудно биха позволили подобни действия.

Експертът предупреждава за сериозна промяна в парадигмата: мащабът на рансъмуер кампаниите вече няма да се ограничава от човешките усилия и време, а само от бюджета на нападателите. Това създава реален риск от „хиляди или десетки хиляди едновременни атаки“. И въпреки че към момента хората все още са тясното място в процеса (тъй като трябва да избират жертвите и да подготвят сървърите ръчно), експертите от Sysdig са категорични – експлоатирането на AI агенти е изключително евтино и е само въпрос на време подобни автоматизирани удари да се превърнат в масово явление.