ИИ сам взломал, украл ключи и уничтожил данные — человек не участвовал

от автора

Программы-вымогатели десятилетиями работали по одной схеме: за атакой всегда стоял человек — тот, кто писал вредоносный код и вел взлом шаг за шагом. Команда по кибербезопасности Sysdig описала первый задокументированный случай, когда всю операцию — от проникновения до уничтожения данных — от начала до конца провел искусственный интеллект без участия человека. Атакующего назвали JADEPUFFER.

Точкой входа стал доступный из интернета сервер с Langflow — популярным инструментом, на котором собирают приложения на основе ИИ. В нем нашлась серьезная дыра (CVE-2025-3248), позволяющая без всякого пароля запустить на чужом сервере произвольный код. Такие серверы — лакомая мишень: их часто разворачивают наспех, без защиты, и хранят на них ключи доступа к облакам и к платным ИИ-сервисам. Именно за этими ключами модель и охотилась в первую очередь.

Захватив первый сервер, ИИ осмотрелся и принялся собирать все ценное, до чего мог дотянуться: ключи от OpenAI, Anthropic, DeepSeek, доступы к облакам, пароли к базам данных и даже криптокошельки. Попутно он нашел внутреннее хранилище файлов, которое так и осталось с завод­скими логином и паролем, и вытащил оттуда конфигурацию с учетными данными. Чтобы не потерять доступ, модель оставила на сервере лазейку, которая каждые полчаса связывалась с инфраструктурой злоумышленника.

Настоящей целью оказался другой сервер — с рабочей базой данных MySQL и сервисом хранения настроек Nacos. К самой базе ИИ подключился с правами администратора, причем откуда у него взялся этот доступ, Sysdig выяснить не смогла. А вот сервис настроек модель дожала целенаправленно: пустила в ход в том числе уязвимости еще 2021 года, которые так и не закрыли, и завела в системе скрытую учетную запись администратора. Дальше начался разгром: ИИ зашифровал все 1342 элемента настроек, удалил исходные таблицы и оставил записку с требованием выкупа — биткоин-адресом и почтой для связи. С иронией: ключ шифрования сгенерировался случайно, был показан один раз и нигде не сохранился, так что вернуть данные жертва не смогла бы даже после оплаты. Фактически это был не выкуп, а уничтожение.

Что именно указало на то, что за штурвалом был ИИ, а не человек? Sysdig приводит два главных признака. Во-первых, код сам себя комментировал — был буквально нашпигован пояснениями на обычном языке о том, зачем делается каждый шаг и какая цель важнее. Живые взломщики так одноразовые скрипты не подписывают, а генерация кода нейросетью делает это по привычке. Во-вторых, скорость: когда одна из попыток входа сорвалась, модель сама разобралась в причине и выкатила рабочее исправление за 31 секунду — человеку на то же самое нужно куда больше времени. Всего же за короткий промежуток агент выполнил свыше 600 осмысленных действий.

Главный вывод исследователей тревожный: порог входа в ransomware резко упал. Раньше связать в одну цепочку разведку, кражу паролей, перемещение по сети и уничтожение данных мог только опытный специалист — теперь с этим справляется один ИИ-агент, а сами приемы при этом не новые и давно известные. Отдельно отмечается, что старые незакрытые уязвимости становятся опаснее: агенту почти бесплатно перебрать весь исторический список дыр. Есть, впрочем, и плюс для защитников — раз ИИ проговаривает свои намерения прямо в коде, это дает подсказки, которых у них раньше не было.

P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я рассказываю про ИИ с творческой стороны.

ссылка на оригинал статьи https://habr.com/ru/articles/1055700/