A Sysdig Threat Research Team részletes jelentése szerint a JADEPUFFER lehet az első dokumentált zsarolóvírusos művelet, amelyet egy nagy nyelvi modellre épülő agent vitt végig a behatolástól az adatlopáson át a titkosításig. A kutatók nem egyszerűen AI-val megírt kódot találtak: olyan támadást figyeltek meg, amely menet közben értelmezte a környezetet, hibát javított és új célpontokat választott.

// ai/mi · 2026.07.04 Egy hamis játékkal mind a hat tesztelt AI-böngészőt rávették az adatlopásra A LayerX BioShocking tesztjében hat AI-böngésző és böngészőügynök adta fel a biztonsági szabályait, miután egy hamis játék átírta a működési környezetét. olvasás →

Egy nyitva hagyott Langflow-szerver volt a bejárat

A támadás egy internet felől elérhető Langflow-példánynál kezdődött. A JADEPUFFER a CVE-2025-3248 jelű hibát használta ki, amely a kódellenőrző végpont hiányzó hitelesítése miatt tetszőleges Python-kód futtatását tehette lehetővé. Innen felmérte a gépet, majd szolgáltatói API-kulcsokat, felhős hozzáféréseket, kriptotárcákat és adatbázis-jelszavakat keresett.

A Langflow PostgreSQL-adatbázisát lementette, átvizsgálta a belső hálózatot, elérte a MinIO objektumtárat, és további hitelesítő adatokat gyűjtött. Egy félóránként jelentkező cron-feladatot is telepített, hogy tartós hozzáférése maradjon a rendszerhez.

Nem egy előre megírt script futott végig

A Sysdig szerint a támadás egyik legfontosabb jellemzője az alkalmazkodás volt. Amikor a MinIO egy XML-formátumú hibaüzenettel válaszolt, a támadó kód értelmezte azt, módosította a következő lépést, majd folytatta a keresést. Később egy másik, éles kiszolgálóra jutott át, amelyen MySQL és Nacos futott.

A Nacosnál több ismert gyenge pontot is kipróbált: hitelesítés megkerülését, alapértelmezett JWT-kulcsot és új rendszergazdai fiók létrehozását. Az első bejelentkezés nem sikerült. A folyamat ezután elemezte a hibát, helyesbítette a hitelesítési módot, és a Sysdig idővonala szerint 31 másodpercen belül újra próbálkozott.

1342 konfigurációt titkosított

A hozzáférés megszerzése után a JADEPUFFER 1342 Nacos-konfigurációs elemet titkosított, törölte az eredeti és előzménytáblákat, majd váltságdíjüzenetet hagyott. Ezután más adatbázisokat is eldobott. A teljes művelet során több mint hatszáz célzott payloadot küldött, vagyis nem egyetlen kártevőfájl lefutásáról volt szó.

A legdurvább hiba közben magában a zsarolásban volt: a titkosítási kulcs létrejött, de a támadó folyamat nem mentette el és nem továbbította sehova. Így a kutatók szerint az adatok akkor sem lettek volna visszaállíthatók, ha az áldozat fizet. Az automatizálás tehát nemcsak felgyorsította a támadást, hanem egy visszafordíthatatlan hibát is nagy sebességgel végrehajtott.

Miért gondolja a Sysdig, hogy AI-agent dolgozott?

A jelentés több jelet együtt értékel. A kód rendszeresen leírta saját következő lépését, természetes nyelvű környezeti információkat értelmezett, gyorsan és helyzetre szabottan javította a hibáit, valamint nem előre rögzített sorrendben választotta ki az eszközöket. A váltságdíjhoz használt Bitcoin-cím körüli probléma is arra utalt, hogy a rendszer példaként megadott adatot valódi értékként kezelt.

Ez továbbra is a Sysdig technikai értékelése, nem pedig a támadó kilétének vagy az alkalmazott nyelvi modellnek a bizonyítása. A kutatók azt tudták megfigyelni, hogyan viselkedett a művelet a megtámadott környezetben. A háttérben használt modell és az emberi felügyelet pontos mértéke nem ismert.

A tanulság kellemetlenül hétköznapi

A JADEPUFFER nem valamilyen ismeretlen, feltörhetetlen AI-képességgel jutott be. Internetre tett fejlesztői eszköz, javítatlan sérülékenység, hozzáférhető titkok és gyenge belső elkülönítés segítette. Az AI abban változtatott a helyzeten, hogy egyetlen folyamat gyorsabban tudta összekapcsolni ezeket a hibákat, mint egy hagyományos, mereven előre programozott kártevő.

Mit érdemes ellenőrizni?

  • A Langflow ne legyen közvetlenül elérhető az internetről, és kapja meg a CVE-2025-3248 javítását.
  • A fejlesztői környezetben tárolt API-kulcsokat és felhős hitelesítő adatokat érdemes lecserélni, majd titokkezelőbe vinni.
  • A Nacos, MySQL és MinIO szolgáltatásokat külön jogosultságokkal és szűk hálózati hozzáféréssel kell védeni.
  • Az alapértelmezett kulcsokat és jelszavakat el kell távolítani, a mentéseket pedig a támadott rendszertől elkülönítve kell tartani.
  • A gyors, egymásra épülő parancsok és az új cron-feladatok észlelésére futásidejű megfigyelés szükséges.

Az eset nem azt mutatja, hogy az AI-agent minden védelmen átjut. Azt mutatja, hogy a régi biztonsági hibák kihasználásához egyre kevesebb kézi munka kell, miközben a támadás tempója és alkalmazkodóképessége nő. Ez az a rész, amely miatt a JADEPUFFER több egy újabb zsarolóvírusnál.