Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

AI агент ја искористи Langflow RCE ранливоста за автоматизирање на ransomware напад врз база на податоци

Компанијата за сајбер-безбедност Sysdig соопшти дека открила, според нивните сознанија, прв ransomware напад што бил изведен од почеток до крај од страна на AI агент.

Нејзиниот Threat Research Team го нарекува операторот JADEPUFFER и наведува дека голем јазичен модел (LLM) го извршил целиот процес: пробивање во системот, кражба на акредитиви (credentials), понатамошно движење низ мрежата, а потоа шифрирање и бришење на продукциската база на податоци на компанијата.

Досега ransomware нападите секогаш бараа присуство на искусен човек – било директно зад тастатурата или како автор на скриптите што ги следи малициозниот софтвер. Ако моделот може самостојно да ги поврзе и изврши сите тие чекори, тогаш потребното ниво на експертиза за спроведување напад се сведува на цената за изнајмување AI агент.

Начинот на пробивање бил преку стара, веќе закрпена ранливост. JADEPUFFER ја искористил CVE-2025-3248, ранливост во Langflow која овозможува извршување на Python код без автентикација. Langflow е алатка со отворен код за развој на AI апликации и работни текови со AI агенти. Поради оваа ранливост, секој што може да пристапи до серверот може да изврши сопствен Python код без да се најави.

Langflow серверите се привлечна цел бидејќи често се директно изложени на интернет и содржат API клучеви и cloud акредитиви за сервисите со кои се поврзани.

Ранливоста е поправена во Langflow 1.3.0 и во мај 2025 година е додадена на листата Known Exploited Vulnerabilities (KEV) на CISA, но голем број сервери никогаш не биле ажурирани. Ова, исто така, не е единствената Langflow ранливост што активно се злоупотребува.

Откако добил пристап, AI агентот работел брзо и ги прикрил трагите. Најпрво ја мапирал машината, а потоа пребарувал по доверливи информации: API клучеви за AI сервиси (OpenAI, Anthropic, DeepSeek, Gemini), cloud акредитиви (вклучувајќи кинески провајдери како Alibaba и Tencent, како и AWS, Google и Azure), клучеви за крипто-паричници и податоци за најава во бази на податоци.

Потоа компромитирал MinIO сервер за складирање користејќи ги фабричките корисничко име и лозинка (minioadmin:minioadmin), кои никогаш не биле променети. Дополнително поставил механизам за повторен пристап преку закажана задача што на секои 30 минути воспоставувала комуникација со серверот на напаѓачот.

Следната цел била посебен сервер достапен преку интернет, на кој работеле MySQL база на податоци и Alibaba Nacos – систем за конфигурација и регистар на сервиси кој често се користи во микросервисни архитектури. AI агентот се најавил во базата како root.

Според Sysdig, не било утврдено од каде потекнувале root акредитивите. Оттаму, агентот го презел Nacos искористувајќи ранливост за заобиколување на автентикацијата од 2021 година (CVE-2021-29441) и фабричкиот клуч за потпишување што Nacos го испорачува непроменет уште од 2020 година. Потоа креирал сопствена администраторска сметка.

Ransom порака без клуч

AI агентот ги шифрирал сите 1.342 Nacos конфигурациски записи, ги избришал оригиналните табели и оставил ransom порака со барање за исплата во Bitcoin, наведувајќи Proton Mail адреса за контакт.

При шифрирањето бил генериран случаен клуч, кој бил прикажан на екранот само еднаш, но никогаш не бил зачуван ниту испратен на друго место.

Тоа значи дека не постои клуч што би можел да му се предаде на жртвата. Дури и ако жртвата плати, не постои начин податоците да бидат дешифрирани. (Во пораката се тврди дека е користен AES-256, но Sysdig наведува дека алатката што била употребена стандардно користи AES-128, иако во овој случај тоа не го менува исходот.)

На крајот, AI агентот отишол чекор понатаму: избришал цели бази на податоци и оставил коментар во сопствениот код во кој тврди дека претходно ги копирал податоците на друга локација.

Според Sysdig, оваа изјава потекнува од самиот AI агент, а не е нешто што нивниот тим можел да го потврди. Истражувачите не пронашле никакви докази дека податоците навистина биле копирани или изнесени.

Како експертите утврдиле дека нападот го водел AI

Најсилниот доказ бил самиот код. Малициозните програми содржеле бројни коментари на обичен англиски јазик кои објаснувале зошто се извршува секој чекор – нешто што човечки напаѓачи речиси никогаш не го прават, но што големите јазични модели (LLM) природно го генерираат.

AI агентот, исто така, ги исправал сопствените грешки со голема брзина.

Во еден случај, по неуспешна најава, за само 31 секунда самостојно ја дијагностицирал причината за проблемот и извршил повеќестепена корекција, наместо едноставно повторно да се обидува со истите акредитиви. Sysdig регистрирал повеќе од 600 одделни и целно извршени активности во текот на нападот.

Еден детал сè уште останува мистерија. Bitcoin адресата наведена во ransom пораката е истата пример-адреса што се користи во официјалната документација за развивачи на Bitcoin. Бидејќи таа адреса често се појавува во материјалите врз кои се обучуваат AI моделите, можно е моделот едноставно да ја „запомнил“ и автоматски да ја искористил.

Од друга страна, станува збор за вистински и активен Bitcoin паричник со долга историја на трансакции.

Sysdig не може да утврди дали AI моделот ја вметнал адресата поради податоците на кои бил обучен или операторот намерно избрал реален паричник што случајно се совпаѓа со познатиот пример.

Дел од поголем тренд

JADEPUFFER претставува најнов чекор во брзиот развој на AI-поддржани сајбер-напади.

Во август 2025 година, истражувачите од ESET го идентификуваа PromptLock, претставен како првиот AI-powered ransomware. Подоцна се покажа дека станува збор за лабораториски прототип наречен Ransomware 3.0, развиен на NYU, а не за вистински напад.

Во истиот период, Anthropic објави дека нивната алатка Claude Code била злоупотребена во реална кампања за изнуда насочена кон најмалку 17 организации, при што барањата за откуп надминувале 500.000 американски долари. Во тој случај, сепак, човек сè уште го контролирал нападот.

Во ноември 2025 година, Anthropic објави што го нарече првиот претежно автономен сајбер-напад – шпионска операција поврзана со кинеска државна група, во која Claude самостојно пишувал експлоити и крадел податоци со минимална човечка интервенција.

Во таа операција AI, исто така, измислувал непостоечки акредитиви (credentials), што можеби е ист вид „халуцинација“ зад необичната Bitcoin адреса користена од JADEPUFFER.

Автоматизацијата на сериозните сајбер-напади станува сè понапредна, а најлесни цели остануваат старите и незакрпени системи. AI агентите овозможуваат речиси без трошок автоматски да се испробуваат илјадници веќе познати ранливости, што значи дека занемарените сервери стануваат уште поизложени на ризик.

Што треба да направат организациите

Препораките на Sysdig се добро познати, но стануваат сè поважни:

  • Ажурирајте го Langflow и никогаш не ги изложувајте неговите endpoints за извршување код директно на интернет.
  • Не чувајте cloud клучеви и акредитиви во околината (environment) на AI алатките; користете наменски систем за управување со тајни (secret manager).
  • Зацврстете ја безбедноста на Nacos: сменете го фабричкиот клуч за потпишување, не го изложувајте на јавен интернет и никогаш не дозволувајте да се поврзува со базата на податоци како root.
  • Никогаш не изложувајте администраторски сметки за бази на податоци на интернет.
  • Ограничете го излезниот (outbound) мрежен сообраќај за компромитиран сервер да не може да комуницира со инфраструктурата на напаѓачот.

Бидејќи денес напаѓачите можат да ја искористат новообјавената ранливост во рок од само неколку часа, Sysdig смета дека следењето на сомнителното однесување во реално време (runtime detection) е уште поважно отколку само брзото инсталирање закрпи.

Индикатори за компромитација (IoCs) објавени од Sysdig

  • Почетна точка на нападот: CVE-2025-3248 (неавтентицирано далечинско извршување код во Langflow)
  • Command-and-Control (C2): 45.131.66[.]106, со beacon кон hxxp://45.131.66[.]106:4444/beacon на секои 30 минути
  • Наводен staging сервер: 64.20.53[.]230
  • Bitcoin адреса за откуп: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
  • Контакт: e78393397[@]proton[.]me
  • Име на ransom табелата: README_RANSOM

Според Sysdig, JADEPUFFER не претставува непосредна криза, туку сериозно предупредување. Ниту една поединечна техника што ја користел агентот не е особено нова или софистицирана. Новото е тоа што AI моделот успеал самостојно да ги поврзе сите тие чекори во целосен напад врз занемарен и незакрпен сервер.

Со понатамошниот развој на AI агентите, ваквите напади веројатно ќе стануваат сè почести. Затоа секој јавно достапен сервер, конфигурациско складиште или администраторска сметка за база на податоци треба да се смета како цел што автоматизирани AI системи активно ќе ја скенираат и тестираат, а не само човечки напаѓачи.

Извори:

  • The Hacker News – AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack The Hacker News