Prošlog tjedna, istraživači iz tvrtke za sigurnost u oblaku Sysdig objavili su da su dokumentirali prvi poznati slučaj “agentnog ransomwarea”. Riječ je o operaciji iznuđivanja pod nazivom JadePuffer, u kojoj je AI agent — a ne čovjek — upravljao tehničkom provedbom stvarnog cyber napada od početka do kraja. Agent je provalio u ranjivi poslužitelj, ukrao vjerodajnice, kretajući se kroz mrežu mete, šifrirajući datoteke i čak napisao vlastitu poruku o otkupu, prilagođavajući se preprekama na putu poput ljudskog hakera. Pokrivanje financiranja opisalo je operaciju kao vođenu “bez ljudskog nadzora”, s “nijednim čovjekom za tipkovnicom”.
Međutim, to nije potpuno točna slika. U intervjuu s CyberScoopom, Michael Clark, viši direktor istraživanja prijetnji u Sysdigu, pojasnio je da je čovjek i dalje bio vrlo uključen — samo ne u tehničkoj provedbi. “Čovjek je postavio i usmjerio operaciju, te osigurao infrastrukturu iza nje, kao što su poslužitelj za naredbe i kontrolu, poslužitelj za pohranu podataka i odabrao žrtvu”, rekao je Clark. Vjerodajnice korištene za provalu u bazu podataka žrtve, dodao je, nisu prikupili sami AI agent; netko ih je dobio odvojeno, putem prethodne kompromitacije, i predao ih operaciji.
Ništa od ovoga ne proturječi izvornoj tvrdnji Sysdiga, a tehnički detalji napada ostaju značajni sami po sebi — čak i divlji. Agent je ušao kroz poznatu grešku u Langflow, popularnom open-source alatu za izradu LLM aplikacija, zatim prešao na produkcijski MySQL server i iskoristio drugu poznatu slabost za dobivanje administratorskog pristupa. Šifrirano je više od 1.300 konfiguracijskih zapisa i ne samo da je ostavio poruku o otkupu koju je sam napisao, već je ostavio i Bitcoin adresu na koju se otkup može poslati. Sysdig nije otkrio tko je bio meta.
Tehnike su očigledno bile prilično uobičajene, ono što je privuklo pažnju bila je brzina i transparentnost uključena u proces. Agent je ispravio neuspješni pristup u 31 sekundi, komentirajući svoje razmišljanje u prirodnom jeziku tijekom cijelog puta.
Jedan detalj koji se isprva činilo da zamagljuje sliku kasnije je pojašnjen. Clark je rekao CyberScoopu da je Sysdig otkrio “više modela korištenih u napadu”, navodeći prikupljene ključeve za OpenAI, Anthropic, DeepSeek i Gemini — što je ostavilo otvorenim pitanje o tome jesu li različiti modeli aktivno pokretali različite faze provale. Kada je zamoljen da pojasni, Clark je rekao TechCrunchu da su ti ključevi jednostavno dio onoga što je agent ukrao, a ne dokaz onoga što ga pokreće.
“Agent je pregledao Langflow poslužitelj za sve što je vrijedno — API ključeve pružatelja, cloud vjerodajnice, kripto novčanike i konfiguracije baza podataka — i ti ključevi pružatelja bili su dio plijena”, rekao je u e-mailu. “Oni su indikativni za ono što je napadač smatrao vrijednim uzeti, ali ne govore nam koji model je donosio odluke.”
Što se tiče modela koji zapravo pokreće JadePuffer, Clark je rekao da Sysdig “nije uspio identificirati specifični model koji pokreće agenta” i nema uvid u njegovu sistemsku naredbu ili konfiguraciju.
Teorija istraživača Microsofta Geoffa McDonalda, iznesena na LinkedInu prije nekoliko dana, vrijedna je ponovnog razmatranja u tom svjetlu. McDonald sumnja da je za napad odgovoran open-weight model s uklonjenim sigurnosnim treninzima, umjesto frontier modela, na temelju vlastitog iskustva s red-teamingom koje pokazuje da sigurnosni slojevi frontier laboratorija dobro funkcioniraju. Izvještaj Sysdiga ne potvrđuje niti isključuje to.
McDonaldova objava također je upozorila da su kampanje ransomwarea sada prvenstveno ograničene budžetom napadača, a ne ljudskim naporima, što povećava mogućnost “tisuća ili desetaka tisuća simultanih kampanja”. Ta briga nešto je teže uskladiti s onim što je Clark opisao u ponedjeljak. (Ako čovjek još uvijek mora odabrati svaku žrtvu, osigurati infrastrukturu i dobiti vjerodajnice za baze podataka za svaku operaciju, to je barem pomalo usko grlo.)
U svakom slučaju, Clark je rekao CyberScoopu da, iako Sysdig nije vidio istu operaciju koja je pogodila druge žrtve, s obzirom na to koliko je jeftino pokretati agenta, očekuje da će se to promijeniti.



