Do tej pory sztuczna inteligencja pomagała programistom pisać kody albo generować proste skrypty. Eksperci z firmy Sysdig, zajmującej się bezpieczeństwem w chmurze, wykryli jednak sytuację, która całkowicie zmienia zasady gry. Odkryli oni operację o nazwie JadePuffer. To prawdopodobnie pierwszy udokumentowany przypadek, w którym pełny atak ransomware został przeprowadzony niemal całkowicie przez samodzielnego agenta AI.
Wszystko zaczęło się od luki bezpieczeństwa o nazwie CVE-2025-3248. Był to błąd w otwartym systemie Langflow, który służy do budowania aplikacji opartych na modelach językowych. Choć poprawkę zabezpieczeń wydano w kwietniu 2025 roku, a amerykańska agencja CISA ostrzegała przed zagrożeniem, cybernetyczny bot zdołał wykorzystać tę szczelinę. Po wejściu do systemu program zaczął zachowywać się jak profesjonalny włamywacz. Wyszukał kluczowe informacje o komputerze, zebrał hasła, przejął poufne pliki z chmury i dokładnie sprawdził całą przestrzeń dyskową.
Komputer, który uczy się na własnych błędach
Najbardziej uderzającym elementem całego zdarzenia była zdolność programu do radzenia sobie z problemami w trakcie pracy. Kiedy bot wysłał zapytanie do magazynu danych MinIO, serwer odesłał mu nietypową odpowiedź w formacie XML. Zwykły, prosty program komputerowy w tym momencie przerwałby działanie i wyświetlił błąd. Agent AI zachował się inaczej. Natychmiast przepisał swój własny sposób analizowania danych, zmienił taktykę i powtórzył operację, osiągając cel.

Podobnie sytuacja wyglądała przy jednej z nieudanych prób logowania. System nie potrzebował człowieka, by zresetować procedurę. Program sam zorientował się, gdzie tkwił problem i poprawił swoje działanie w zaledwie 31 sekund. Aby zabezpieczyć sobie stały dostęp na przyszłość, agent AI utworzył w systemie ukryte, automatycznie zadania uruchamiane w określonym czasie. Następnie zaatakował serwer produkcyjny Alibaba Nacos. Korzystając ze starszej podatności CVE-2021-29441, utworzył tam nowe konta z uprawnieniami administratora. Na samym końcu algorytm zaszyfrował 1342 rekordy konfiguracyjne, skasował oryginalne pliki i zostawił żądanie okupu w Bitcoinach.
Ślady ukryte w tekście
Choć atak był technicznie zaawansowany, pozostawił po sobie ślady, które wprost wskazały na udział sztucznej inteligencji. Wewnątrz kodu szkodliwego oprogramowania badacze z Sysdig znaleźli bardzo szczegółowe opisy w zwykłym, ludzkim języku. To wyglądało, jakby bot sam dla siebie opisywał proces myślowy i powody, dla których podejmuje konkretne kroki w sieci. Co ciekawe, w pozostawionym liście z żądaniem zapłaty program podał adres portfela Bitcoin, który ostatecznie okazał się jedynie standardowym przykładem skopiowanym z instrukcji technicznych. Przez to realna płatność nie byłaby nawet możliwe. Bot minął się też z prawdą w kwestii technicznej. Twierdził, że używa silnego szyfrowania AES-256, podczas gdy analiza wykazała zastosowanie znacznie prostszego i mniej bezpiecznego trybu AES-128-ECB.
Cóż, wygląda na to, że przeprowadzenie ataku na firmę nie wymaga już olbrzymiej wiedzy programistycznej – czarną robotę może wykonać odpowiednio zaprogramowany algorytm. Analiza przeprowadzona przez Sysdig pokazuje jednak, że działanie generowane przez AI ma specyficzny styl i bazuje na powtarzalnych schematach, a to może w przyszłości ułatwić specjalistom od bezpieczeństwa sprawne tworzenie narzędzi obronnych i aktualizacji.
Źródło: Sysdig / Zdj. otwierające: Unsplash (@a_chosensoul)