Umelá inteligencia ako samostatný útočník: AI agent ovládol a zničil firemnú databázu

7.7.2026 | Autor: Top privacy
5

Sysdig zdokumentoval JADEPUFFER — prvý ransomvérový útok vykonaný plne autonómnym AI agentom, ktorý sám prenikol do systému, ukradol dáta a zničil databázu.

Umelá inteligencia ako samostatný útočník: AI agent ovládol a zničil firemnú databázu

Výskumníci zo Sysdig Threat Research Team (TRT) zdokumentovali operáciu nazvanú JADEPUFFER — podľa ich hodnotenia prvý zaznamenaný prípad kompletnej vydieračskej kampane, ktorú od začiatku do konca riadil autonómny AI agent (LLM) bez zásahu človeka pri jednotlivých krokoch útoku.

Útočník je klasifikovaný ako tzv. agentic threat actor (ATA) — subjekt, ktorého útočnú schopnosť nezabezpečuje ľudský operátor pomocou nástrojov, ale AI agent samotný. Operácia prebehla v dvoch fázach naprieč dvomi odlišnými cieľmi: kompromitovaným AI serverom, ktorý slúžil ako vstupný bod, a samostatným produkčným databázovým serverom, ktorý bol skutočným cieľom útoku.

Ako útok fungoval

  • Fáza 1 — Získanie prístupu: Útočník získal prístup cez zraniteľnosť CVE-2025-3248 v nástroji Langflow — populárnom open-source frameworku na tvorbu LLM aplikácií a agentových workflow. Ide o chýbajúcu autentifikáciu na endpointe pre validáciu kódu, ktorá umožňuje neautentifikovanému útočníkovi spustiť ľubovoľný Python kód na hostiteľskom serveri.

  • Fáza 2 — Prieskum a zber prihlasovacích údajov: Bezprostredne po získaní prístupu AI agent zmapoval hostiteľský systém a paralelne prehľadal prostredie na prítomnosť citlivých údajov — API kľúčov k LLM poskytovateľom, cloudových prihlasovacích údajov (vrátane explicitného zamerania na čínskych poskytovateľov ako Alibaba, Tencent či Huawei, popri AWS, GCP a Azure), kryptomenových peňaženiek a databázových prihlasovacích údajov. Následne vyexfiltroval vlastnú databázu Langflow.

  • Fáza 3 — Laterálny prieskum a perzistencia: Agent skenoval internú sieť a našiel objektové úložisko MinIO s predvolenými prihlasovacími údajmi (minioadmin:minioadmin). Systematicky prešiel všetky bucket-y vrátane úložiska so stavom infraštruktúry (Terraform state) a stiahol súbory obsahujúce prihlasovacie údaje. Následne si na kompromitovanom serveri nainštaloval trvalý prístup formou naplánovanej úlohy (crontab), ktorá sa každých 30 minút hlásila na server útočníka.

  • Fáza 4 — Prienik k skutočnému cieľu: Zo zachytených údajov agent identifikoval samostatný, na internet vystavený server s databázou MySQL a konfiguračnou službou Nacos. Súčasne zaútočil viacerými spôsobmi — zneužitím staršej zraniteľnosti autentifikácie (CVE-2021-29441) aj sfalšovaním prístupového tokenu pomocou verejne známeho predvoleného podpisového kľúča Nacos. S získaným prístupom k databáze vložil do systému záložný administrátorský účet. Keď prvý pokus o prihlásenie zlyhal, agent do 31 sekúnd samostatne diagnostikoval príčinu, opravil chybu v generovaní hesla a úspešne sa prihlásil. Následne otestoval možnosti úniku z kontajnera, napríklad prístup k docker.sock.

  • Fáza 5 — Ransomvér a deštrukcia dát: Agent zašifroval 1 342 konfiguračných položiek pomocou vstavanej databázovej funkcie AES_ENCRYPT(), odstránil pôvodné tabuľky a vytvoril vydieračskú správu s požiadavkou na výkupné v bitcoinoch. Následne pristúpil k plošnej deštrukcii — postupne zmazal viacero celých databázových schém, pričom si sám v kóde komentoval, ktoré databázy majú najvyššiu „návratnosť" na vymazanie.

Kľúčové zistenie: šifrovací kľúč bol vygenerovaný ako v podstate náhodná hodnota, vypísaný len na obrazovku a nikde uložený ani odoslaný. Obeť by teda dáta nezískala späť ani po zaplatení výkupného.

Koho sa to týka

Prípad sa priamo dotýka organizácií, ktoré prevádzkujú:

  • Langflow alebo podobné AI-orchestračné servery vystavené internetu — najmä ak obsahujú API kľúče či cloudové prihlasovacie údaje priamo vo svojom prostredí
  • Nacos alebo iné konfiguračné/service-discovery platformy s nezmenenými predvolenými nastaveniami
  • MinIO alebo iné objektové úložiská s predvolenými prihlasovacími údajmi
  • databázové servery s administrátorským prístupom vystaveným do internetu

Sysdig zdôrazňuje, že žiadna z jednotlivých techník nebola sama osebe nová ani sofistikovaná — ide o roky staré zraniteľnosti a zanedbané zabezpečenie. Práve preto je zásadné, že AI agent dokázal tieto kroky samostatne poskladať do kompletnej operácie bez ľudského dohľadu nad jednotlivými krokmi, čím sa výrazne znižuje odbornosť potrebná na vykonanie plnohodnotného ransomvérového útoku.

Čo robiť

Ak vaša organizácia prevádzkuje podobnú infraštruktúru, odporúčame bezodkladne:

  • Aktualizovať Langflow na verziu opravujúcu CVE-2025-3248 a nikdy nevystavovať endpointy na spúšťanie kódu do internetu
  • Nespúšťať AI-orchestračné servery s API kľúčmi či cloudovými prihlasovacími údajmi priamo v ich prostredí — citlivé údaje patria do dedikovaného správcu tajomstiev (secrets manager)
  • Zmeniť predvolené prihlasovacie údaje vo všetkých komponentoch vrátane MinIO a Nacos (predvolený podpisový kľúč token.secret.key)
  • Nikdy nepripájať konfiguračné služby k databáze pod účtom root a neumožniť im prístup s administrátorskými oprávneniami
  • Nevystavovať administrátorský prístup k databázovému serveru do internetu — vynútiť silné, jedinečné heslá a obmedzenie prístupu na dôveryhodné IP adresy
  • Nasadiť egress kontroly, aby kompromitovaný server nemohol voľne komunikovať s externými cieľmi
  • Monitorovať prostredie pomocou runtime detekcie zameranej na neobvyklé databázové procesy a naplánované úlohy s odchádzajúcou sieťovou komunikáciou

NAŠE SLUŽBY
Zdroj:
Sysdig Threat Research Team | Gamesite.sk


Top privacy

Top privacy

"Kvalitný obsah netvoria copywriteri, ale odborníci."