კიბერუსაფრთხოების კომპანია Sysdig-მა დააფიქსირა, რასაც უწოდებს პირველ რანსომვერის ოპერაციას, რომელიც დასაწყისიდან დასასრულამდე ავტონომიურმა AI აგენტმა წარმართა — ადამიანის მხრიდან შეტევის ცალკეული ნაბიჯების უშუალო მართვის გარეშე.
როგორ განვითარდა შეტევა
ოპერაცია, რომელსაც Sysdig-მა JADEPUFFER უწოდა, დაიწყო ინტერნეტში ხელმისაწვდომი Langflow-სერვერების ძიებით — Langflow არის ღია კოდის ინსტრუმენტი AI აპლიკაციებისა და აგენტული სამუშაო პროცესების შესაქმნელად. თავდამსხმელმა გამოიყენა CVE-2025-3248 — ავთენტიფიკაციის გარეშე დისტანციური კოდის შესრულების ხარვეზი, რომელიც გამოვლინდა 2025 წლის აპრილში და მოგვიანებით შევიდა აშშ-ის კიბერუსაფრთხოებისა და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA) აქტიურად ექსპლუატირებული დაუცველობების სიაში.
ამ პლაცდარმიდან საქმეში AI აგენტი ჩაერთო: მან შეისწავლა დაინფიცირებული მანქანა, მოიპოვა წვდომის მონაცემები და API-გასაღებები ისეთი სერვისებისთვის, როგორებიცაა OpenAI, Anthropic, DeepSeek და Google Gemini, ასევე შეაგროვა საღრუბლე სერვისების ანგარიშები — როგორც აშშ-ის პროვაიდერების, ისე ჩინური პლატფორმების, მაგალითად Alibaba-სა და Tencent-ის. შემდეგ აგენტმა გვერდულად გადაინაცვლა ცალკე, დაუკავშირებელ საწარმოო მონაცემთა ბაზის სერვერზე — თავისი რეალური სამიზნეზე — გამოიყენა მეორე ხარვეზი ყალბი ადმინისტრატორის ანგარიშის შესაქმნელად და დაშიფრა 1,342 კონფიგურაციის ერთეული, სანამ ორიგინალებს წაშლიდა.
რა მიუთითებს, რომ შეტევას AI მართავდა
Sysdig-ის თქმით, ავტონომიურობის ყველაზე მყარი მტკიცებულება თავად შეტევის კოდში აღმოჩნდა — ის სავსეა ბუნებრივ ენაზე დაწერილი კომენტარებით, რომლებიც განმარტავენ თითოეული ნაბიჯის მიზეზს, მათ შორის იმას, თუ რომელი სამიზნე იძლეოდა საუკეთესო შედეგს, სანამ აგენტი შემდეგზე გადავიდოდა. აგენტმა რეალურ დროშიც მოახდინა ადაპტაცია: ერთი წარუმატებელი შესვლის მცდელობის შემდეგ მან დაადგინა პროგრამული კონფიგურაციის პრობლემა და დაახლოებით 31 წამში გამოსცა მაკორექტირებელი, მრავალსაფეხურიანი გადაწყვეტა — სისწრაფით, რომლის მიღწევაც ადამიანისთვის ნაკლებად სავარაუდოა. მკვლევრებმა ოპერაციის განმავლობაში 600-ზე მეტი ცალკეული პეილოუდის შესრულება დაითვალეს.
„LLM აგენტს შეუძლია ერთმანეთს დაუკავშიროს დაზვერვა, წვდომის მონაცემების მოპარვა, გვერდითი გადაადგილება, მდგრადობის უზრუნველყოფა და განადგურება — ისე, რომ ოპერატორს არცერთი ცალკეული ეტაპისთვის ღრმა ექსპერტიზა არ სჭირდებოდეს," — წერს Sysdig-ის საფრთხეების კვლევის გუნდი.
რატომ არის ეს მნიშვნელოვანი
თუ JADEPUFFER-ის სრული ავტონომიურობა დადასტურდება, ეს რანსომვერს გადააქცევს ხელობიდან, რომელიც თითოეულ ეტაპზე სპეციალიზებულ უნარებს მოითხოვდა, სისტემად, რომლის დელეგირებაც ოპერატორს შეუძლია AI-სთვის. Sysdig-ი და სხვა მკვლევრები ასეთ თავდამსხმელებს „აგენტულ საფრთხის აქტორებს“ უწოდებენ — თავდამსხმელებს, რომელთა შესაძლებლობა თავად AI ინსტრუმენტიდან მომდინარეობს და არა ადამიანური ოპერატორის უნარებიდან. Langflow-ის ხარვეზი უკვე გასწორებულია ვერსია 1.3.0-ში, თუმცა მკვლევრები აღნიშნავენ, რომ ბევრი ღია სერვერი ისევ განახლების გარეშე დარჩა.