Игорь Градов
Игорь Градов
5 мин
ai

ИИ кибератаки ускоряет до секунд, но без оператора пока не работает: кейс JadePuffer

Компания Sysdig, специализирующаяся на облачной безопасности, задокументировала операцию JadePuffer, где ИИ-агент самостоятельно провёл техническую часть кибератаки, но человек по-прежнему выбирал жертву, готовил инфраструктуру и добывал первичные данные для входа.

ИИ кибератаки ускоряет до секунд, но без оператора пока не работает: кейс JadePuffer
Почему это важно

Первый публично описанный случай агентного вымогательства показал: ИИ кибератаки ускоряют до секунд то, на что раньше уходили часы, но пока не могут обойтись без оператора, и именно этот зазор определяет, как защищаться.

Sysdig, американская компания в сфере облачной безопасности, опубликовала разбор операции под названием JadePuffer. По их данным, это первый задокументированный случай «агентного вымогательства» (agentic ransomware), когда ИИ-агент (автономная программа, действующая без пошаговых команд человека) выполнил полный цикл кибератаки: проник на сервер, украл учётные данные, прошёл по сети жертвы, зашифровал файлы и сам написал записку с требованием выкупа. Однако Майкл Кларк, старший директор по исследованию угроз Sysdig, уточнил в интервью CyberScoop: человек всё ещё настраивал операцию, выбирал цель, разворачивал серверы управления и заранее добыл учётные данные для первого входа.

Параметр Данные
Кто обнаружил Sysdig (облачная безопасность)
Название операции JadePuffer
Тип инцидента Агентное вымогательство (agentic ransomware)
Дата публикации уточнений интервью CyberScoop, понедельник прошлой недели

Как работала атака шаг за шагом?

ИИ-агент проник через известную уязвимость в Langflow (открытый инструмент для создания приложений на базе больших языковых моделей, его используют разработчики по всему миру, включая Россию). Затем агент переключился на рабочий сервер MySQL (популярная система управления базами данных) и через ещё одну известную уязвимость получил права администратора.

Агент зашифровал более 1 300 записей конфигурации, оставил записку с требованием выкупа, которую написал сам, и указал Bitcoin-адрес для перевода. Sysdig не раскрыла, кто стал жертвой.

Техники сами по себе оказались стандартными. Но скорость поразила исследователей: агент исправил неудачную попытку входа за 31 секунду, попутно комментируя собственные действия на естественном языке прямо в коде.

Какая модель стояла за атакой?

Первоначально сообщалось, что в атаке «использовались несколько моделей», поскольку были обнаружены ключи от OpenAI, Anthropic, DeepSeek и Gemini. Кларк уточнил для TechCrunch: эти ключи агент просто украл с заражённого сервера вместе с облачными учётными данными и криптокошельками. Они не управляли атакой.

Агент прочесал хост Langflow в поисках всего ценного: API-ключей провайдеров, облачных учётных данных, криптовалютных кошельков и конфигураций баз данных. Эти ключи провайдеров были частью добычи, но не говорят нам, какая модель принимала решения. : Майкл Кларк, старший директор по исследованию угроз Sysdig

Sysdig «не смогла идентифицировать конкретную модель, управлявшую агентом», и не имеет доступа к его системному промпту (системный промпт, это набор инструкций, определяющих поведение модели) или конфигурации.

Почему ИИ кибератаки пока не масштабируются бесконечно?

Исследователь Microsoft Джефф Макдональд предположил в LinkedIn, что за атакой стоит модель с открытыми весами (open weights, модель, чьи параметры доступны публично), у которой убрали защитные ограничения. По его опыту красных команд (red-teaming, имитация реальных атак для проверки защиты), встроенная защита ведущих закрытых моделей справляется с подобными попытками. Sysdig эту гипотезу не подтвердила и не опровергла.

Макдональд также предупредил: масштаб вымогательских кампаний теперь ограничен бюджетом атакующего, а не количеством людей, и допустил сценарий «тысяч или десятков тысяч одновременных кампаний».

Но факты от Кларка умеряют этот прогноз. Если человек по-прежнему должен для каждой операции выбрать жертву, развернуть инфраструктуру и раздобыть учётные данные, это узкое место, которое тормозит масштабирование. Кларк при этом добавил: Sysdig пока не видела повторения JadePuffer на других жертвах, но ожидает, что это изменится, учитывая дешевизну запуска агента.

Что это значит для вас?

Мнение редакции dzen.guru

JadePuffer показывает не столько «машина захватила мир», сколько конкретный, измеримый сдвиг: рутина атаки, разведка, перебор, шифрование, теперь дешёвая и быстрая, а значит, порог входа для злоумышленников снижается. Но пока ИИ кибератаки зависят от человека на этапе подготовки, защита по-прежнему работает через базовые вещи.

Я бы не стал паниковать, но точно бы проверил свою инфраструктуру по трём пунктам ниже.

  • Авторам и владельцам каналов на Дзене. Если вы используете инструменты для генерации контента на базе LLM (большая языковая модель, это ChatGPT, YandexGPT и аналоги), проверьте, где хранятся ваши API-ключи. В JadePuffer агент целенаправленно собирал именно их. Не храните ключи в открытом виде в конфигурационных файлах.

  • Маркетологам и предпринимателям в РФ. Langflow и MySQL используются в российских IT-инфраструктурах повсеместно. Обе уязвимости, через которые прошёл агент, были известными, то есть для них уже существовали обновления безопасности. Убедитесь, что ваши подрядчики по разработке установили патчи. Это не абстрактная угроза из Кремниевой долины, это конкретный риск для тех же стеков, которые работают в вашем проекте.

  • Всем, кто работает с данными. Когда атаку за 31 секунду выполняет агент, у команды защиты нет времени на ручную реакцию. Автоматический мониторинг обращений к базам данных и аномальной активности перестаёт быть роскошью. Из доступных в РФ инструментов мониторинга можно посмотреть на решения от Positive Technologies и «Лаборатории Касперского».

Где подвох

Sysdig не назвала жертву, не идентифицировала модель и не раскрыла системный промпт агента. Полной картины пока нет: выводы строятся на одном задокументированном случае, а не на массовой статистике.

Главный практический вывод прост: обновите Langflow и MySQL до актуальных версий, уберите API-ключи из открытых конфигов и настройте алерты на массовое шифрование записей в базе. Агент действовал быстро, но проникал через дыры, которые закрываются одним патчем.

Поделиться:TelegramVK
Игорь Градов
Игорь Градов

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».

Комментарии

Читайте также

Microsoft сокращает 4800 сотрудников office и Xbox: ИИ меняет приоритеты, но «не заменяет людей»
ai

Microsoft сокращает 4800 сотрудников office и Xbox: ИИ меняет приоритеты, но «не заменяет людей»

Microsoft в начале нового финансового года сокращает 4800 сотрудников, около 2,1% штата, и основной удар приходится на коммерческие продажи и игровое…

4 мин
Google по умолчанию включил сбор фото и аудио для обучения ИИ: как отключить сохранение данных
ai

Google по умолчанию включил сбор фото и аудио для обучения ИИ: как отключить сохранение данных

Google без лишнего шума начал сохранять фото, аудио и видео из поиска, Карт и Переводчика для обучения своих нейросетей, и большинство пользователей уже…

6 мин
ai

Нейросеть Claude месяцами следила за пользователями: Anthropic убрала трекер только после скандала

Антропик несколько месяцев скрытно отслеживала китайских пользователей Claude Code, пока независимый исследователь безопасности не обнаружил спрятанный в…

4 мин