Specjaliści z firmy Sysdig zajmującej się bezpieczeństwem w chmurze zidentyfikowali pierwszy przypadek tak zwanego agentowego oprogramowania ransomware. Operacja, której nadano kryptonim JadePuffer, stanowi istotny przełom w cyberprzestępczości, ponieważ po raz pierwszy to autonomiczny agent AI, a nie człowiek, przeprowadził pełny cykl ataku – od włamania do serwera, przez kradzież danych uwierzytelniających i poruszanie się po sieci, aż po szyfrowanie plików i samodzielne sformułowanie żądania okupu.
Choć początkowe doniesienia sugerowały, że atak odbył się całkowicie bez nadzoru człowieka, rzeczywistość jest bardziej złożona. Michael Clark, starszy dyrektor ds. badań nad zagrożeniami w Sysdig, wyjaśnił, że rola człowieka została jedynie przesunięta na etap przygotowawczy. To człowiek dokonał wyboru ofiary, skonfigurował infrastrukturę dowodzenia i kontroli oraz przygotował serwery pośredniczące. Co więcej, dane dostępowe, które pozwoliły agentowi na włamanie, nie zostały zdobyte przez sztuczną inteligencję, lecz pozyskane wcześniej w wyniku innego incydentu i przekazane do wykorzystania w tej operacji.
Sam przebieg ataku był jednak niezwykle sprawny. Agent wykorzystał znaną lukę w Langflow, popularnym narzędziu open source do tworzenia aplikacji opartych na dużych modelach językowych (LLM), a następnie, po uzyskaniu dostępu do serwera MySQL, wykorzystał kolejną podatność, by przejąć uprawnienia administratora. W trakcie ataku zaszyfrowano ponad 1300 rekordów konfiguracyjnych, a agent pozostawił po sobie notatkę z żądaniem okupu oraz adresem portfela Bitcoin. Szczególną uwagę badaczy zwróciła szybkość działania systemu – na przykład naprawienie nieudanego logowania zajęło mu zaledwie 31 sekund, podczas których agent na bieżąco komentował swoje działania w kodzie w języku naturalnym.
W toku analizy pojawiły się niejasności dotyczące wykorzystanych modeli AI. W systemie znaleziono klucze API należące do OpenAI, Anthropic, DeepSeek oraz Gemini, co początkowo sugerowało użycie wielu modeli do różnych etapów ataku. Sysdig doprecyzował jednak, że klucze te stanowiły jedynie część łupu – agent po prostu przeszukał zainfekowany serwer w poszukiwaniu cennych danych, takich jak poświadczenia chmurowe czy portfele kryptowalutowe. Na ten moment nie udało się zidentyfikować konkretnego modelu, który sterował działaniami JadePuffer, ani uzyskać wglądu w jego instrukcje systemowe.
Eksperci, w tym Geoff McDonald z Microsoftu, sugerują, że za atakiem mógł stać model o otwartych wagach, z którego usunięto zabezpieczenia, co jest bardziej prawdopodobne niż wykorzystanie modeli komercyjnych z silnymi mechanizmami ochronnymi. Choć wizja tysięcy zautomatyzowanych kampanii ransomware budzi niepokój, obecny model działania wciąż wymaga od przestępców zaangażowania na etapie wyboru celu i przygotowania infrastruktury, co stanowi pewne ograniczenie. Mimo to, ze względu na niski koszt uruchomienia takich agentów, specjaliści ostrzegają, że skala tego typu zagrożeń będzie w przyszłości rosła.

