Pe 1 iulie 2026, echipa de cercetare a amenințărilor de la Sysdig (TRT) a publicat analiza a ceea ce evaluează drept primul caz documentat de ransomware agentic — o operațiune completă de extorcare condusă de la un capăt la altul de un model lingvistic mare (LLM), fără niciun om la tastatură. Operatorul a fost denumit JADEPUFFER. Tehnicile folosite nu erau noi și nici ingenioase. Ce e nou este că o mașină le-a înlănțuit singură într-un atac complet împotriva unui server neglijat, expus în internet.
Pentru oricine răspunde de securitate, întrebarea interesantă nu este dacă AI poate acum conduce un atac — evident poate — ci ce schimbă asta în privința locului unde îți investești efortul defensiv limitat. Pe scurt: crește valoarea a două lucruri despre care știai deja că sunt importante, managementul expunerii și disciplina de patching, pentru că atacatorii pot acum automatiza partea plictisitoare la un cost aproape nul.
Ce s-a întâmplat de fapt
JADEPUFFER a obținut accesul inițial prin CVE-2025-3248, o vulnerabilitate de autentificare lipsă în Langflow — un framework open-source popular pentru construirea de aplicații LLM și fluxuri de agenți. Defectul permite oricui poate ajunge la server să ruleze cod Python arbitrar pe el, fără autentificare. A fost remediat în Langflow 1.3.0 și adăugat în catalogul CISA de vulnerabilități exploatate activ (KEV) încă din mai 2025. Cu alte cuvinte, a fost o vulnerabilitate veche, deja patch-uită, care a lovit un server ce nu fusese niciodată actualizat.
Odată intrat, agentul a lucrat rapid și metodic. A enumerat gazda, apoi a scanat-o în paralel după secrete: chei API pentru furnizori de AI, credențiale cloud, chei de portofele crypto și date de acces la baze de date. A jefuit un depozit de obiecte MinIO care încă folosea credențialele implicite din fabrică (minioadmin:minioadmin), a extras baza de date proprie a Langflow și a instalat o sarcină programată care semnaliza serverul atacatorului la fiecare 30 de minute. Apoi a pivotat către ținta reală — un server separat, expus în internet, care rula MySQL și un serviciu de configurare Alibaba Nacos — a preluat controlul Nacos printr-o vulnerabilitate de bypass de autentificare din 2021 și o cheie de semnare implicită neschimbată, a criptat 1.342 de elemente de configurare, a șters tabelele originale și a lăsat o notă de răscumpărare.
Există un detaliu sinistru. Cheia de criptare a fost generată aleatoriu, afișată o singură dată pe ecran și niciodată salvată sau transmisă. Nici măcar o victimă care ar plăti nu ar putea recupera datele. Agentul a șters apoi baze de date întregi, lăsând un comentariu în propriul cod în care pretindea că exfiltrase deja datele — o afirmație pe care Sysdig nu a putut-o verifica.
Cum au știut că un model era la volan
Dovezile Sysdig merită înțelese, pentru că sugerează cum vor detecta apărătorii astfel de atacuri. Payload-urile erau auto-narative: pline de comentarii în limbaj natural care explicau de ce se face fiecare pas, genul de adnotare continuă pe care un operator uman nu se obosește să o scrie, dar pe care un model o produce implicit. Agentul și-a diagnosticat și corectat singur greșelile cu viteză de mașină — într-o secvență a trecut de la o autentificare eșuată la o corecție corectă, în mai mulți pași, în 31 de secunde, identificând corect cauza reală în loc să reîncerce orbește. Pe întreaga operațiune, Sysdig a numărat peste 600 de payload-uri distincte și cu scop.
De ce se schimbă prioritățile tale de patching
Lecția nu este „AI vine după tine”. Este că economia exploatării s-a schimbat. Automatizarea „bombardării” cu întregul catalog de vulnerabilități cunoscute costa înainte timp și pricepere din partea atacatorului. Cu un agent, este aproape gratuit — iar dacă agentul rulează pe resurse de calcul AI furate, aproape de zero. Asta are trei consecințe practice.
Prima, coada lungă de sisteme neactualizate, expuse în internet, devine mai periculoasă, nu mai puțin. Serverele neglijate au fost mereu un risc; acum sunt un risc pe care o mașină neobosită îl va găsi și exploata mai repede decât ar putea vreodată un om. Prioritizează după expunere: orice sistem accesibil din internet care rulează software cunoscut ca exploatat ar trebui să urce în capul listei, indiferent cât de „important” pare acel server.
A doua, vulnerabilitățile cunoscute ca exploatate merită o pondere specială. CVE-2025-3248 se afla pe lista KEV a CISA de peste un an înainte de acest atac. Dacă prioritizarea patch-urilor tale se bazează încă mai ales pe scoruri CVSS, adaugă statutul de exploatare activă ca semnal de prim rang. Un defect de severitate medie exploatat activ este mai urgent decât unul critic care nu este exploatat.
A treia, credențialele implicite și interfețele de administrare expuse fac parte din suprafața ta de patching. JADEPUFFER nu a trebuit să muncească deloc pentru MinIO — parola implicită nu fusese schimbată niciodată. Nacos livra o cheie de semnare implicită neschimbată. Un cont administrativ de bază de date stătea expus în internet. Actualizarea software-ului este necesară, dar nu suficientă; aceeași disciplină trebuie să acopere și configurarea.
Ce să faci în acest trimestru
Începe cu vizibilitatea. Nu poți prioritiza ce nu vezi, așa că construiește sau reîmprospătează un inventar al activelor expuse în internet și al versiunilor de software pe care le rulează. Corelează-l cu catalogul KEV al CISA și remediază-le pe acelea primele. Scoate cheile API ale furnizorilor și credențialele cloud din mediul oricărui serviciu accesibil din web și pune-le într-un manager de secrete corespunzător. Schimbă fiecare credențial implicit și fiecare cheie de semnare implicită pe care o găsești și nu expune niciodată contul administrativ al unei baze de date în internet. În fine, aplică controale de trafic de ieșire (egress) astfel încât o gazdă compromisă să nu poată comunica spre exterior sau ajunge la un server de staging extern — doar această măsură ar fi perturbat persistența JADEPUFFER.
Pentru că atacatorii pot acum transforma o alertă nouă în armă în câteva ore, Sysdig susține că monitorizarea comportamentului malițios la runtime contează la fel de mult ca alergarea după patch-uri. Ambele sunt adevărate: patch-uiește vulnerabilitățile cunoscute ca exploatate pe care le poți remedia și presupune că ceva va scăpa, deci investește în detectarea comportamentului — procese neașteptate de bază de date, sarcini programate noi care fac apeluri spre exterior, scanări de credențiale — care urmează unei breșe.
Dacă vrei să știi la care dintre sistemele tale expuse în internet ar ajunge primul un agent ca acesta, exact asta e menit să scoată la iveală un test de penetrare — îți testează expunerea așa cum ar face-o un atacator real, înainte să o facă unul. Iar pe măsură ce instrumentele bazate pe AI se maturizează, testarea securității propriilor aplicații AI și LLM, cum ar fi endpoint-urile de tip Langflow expuse, devine o disciplină de sine stătătoare prin testarea de penetrare LLM și AI.
JADEPUFFER este un semnal de alarmă, nu o criză. Niciuna dintre mișcările sale nu a fost sofisticată. Organizațiile pe care le va răni sunt cele care știau deja că au sisteme expuse și neactualizate și nu ajunseseră încă la ele. Fereastra de a ajunge la ele se închide mai repede decât înainte.
Acest articol reprezintă informații generale, nu consultanță juridică sau profesională de securitate. Expunerea și obligațiile tale specifice depind de mediul, sectorul și rolul tău.
Surse
- Sysdig Threat Research Team, „JADEPUFFER: Agentic ransomware for automated database extortion” (1 iulie 2026): sysdig.com
- The Hacker News, „AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack” (2 iulie 2026): thehackernews.com
- BleepingComputer, „JadePuffer ransomware used AI agent to automate entire attack”: bleepingcomputer.com
- Catalogul CISA de vulnerabilități exploatate activ, CVE-2025-3248 (Langflow): nvd.nist.gov
