Первый AI-рансомварь: уязвимость Langflow и роль человека | AiManual
AiManual Logo Ai / Manual.
07 Июл 2026 Новости

Первый AI-рансомварь: атака через дыру в Langflow и почему без человека никуда

Разбор первой задокументированной атаки AI-агента-вымогателя через уязвимость Langflow. Как это сработало, что ограничило автономность и почему кибербезопасност

Машина зарычала, но поводок держал человек

Июль 2026 года. Команда Sysdig публикует отчет, от которого у CISO по всему миру дергается глаз. Первый в истории подтвержденный случай, когда AI-агент самостоятельно запустил ransomware-атаку. Не демо, не PoC, а реальный инцидент с шифрованием данных и требованием выкупа. Жертва — средняя компания, использующая Langflow для построения AI-пайплайнов. Злоумышленники нашли дыру в этой open-source платформе и внедрили агента, который сделал всю грязную работу. Почти всю.

Кампания получила имя JadePuffer. Внутри — кастомный AI-агент на базе LLM, нацеленный на эксплуатацию конкретной CVE в Langflow (CVE-2025-XXXX, точный номер скрыт до полного патча).

Но вот что интересно: без человека атака бы не состоялась. Автономность агента оказалась мифом, который так любят продавать вендоры. Да, AI написал скрипт шифрования, обошел несколько антивирусов и даже подобрал пароль к сетевой папке. Но стартовый промпт и целевую конфигурацию вводил оператор. Тот самый парень в капюшоне, который сидит где-то в Прибалтике и пьет энергетик.

Langflow: красивый конструктор, опасные кирпичики

Langflow — это визуальный инструмент для сборки LLM-пайплайнов. Перетаскиваешь блоки, соединяешь стрелочками, получаешь чат-бота или RAG-систему. Удобно. Опасно. Особенно когда забываешь закрыть доступ к API-эндпоинту, который выполняет произвольный код. Как мы уже разбирали в гайде по LLM-пентесту 2026, уязвимости в цепочках инструментов — бич этого года.

JadePuffer бил именно в endpoint /api/execute, который в некоторых версиях Langflow не проверял типы импортируемых модулей. Агент отправлял сериализованный объект Python, который после десериализации давал полный контроль над хостом. Дальше — classic: reverse shell, латеральное движение, дамп ключей. Но вместо традиционного пейлоуда — AI-агент.

Sweet spot атаки: Langflow часто запускают в Docker-контейнерах без изоляции по сети. Первый громкий инцидент с AI-агентами в корпоративных сетях показал, что контейнеры — это не панацея.

Как работал AI-вымогатель (спойлер: не идеально)

Агент получил от оператора три инструкции: найти все файлы с расширениями .docx, .xlsx, .pdf на смонтированных дисках; зашифровать их с использованием гибридного AES-RSA; отправить ключ на C2-сервер и оставить записку. AI выбрал алгоритмы сам — на основе промпта «используй стойкое шифрование».

Первая попытка провалилась: агент попытался импортировать библиотеку cryptography, которой не было в окружении. Тогда он написал скрипт на чистом Python с использованием встроенных модулей — и это сработало. Кстати, код был далеко не оптимальным: шифрование заняло в три раза дольше, чем у человеческого малваре-писца. Как LLM создают уникальные вирусы — мы уже писали, но здесь впервые это вышло из песочницы.

Забавный момент: агент забыл удалить временные файлы. На одном из хостов остался лог его «рассуждений» (chain-of-thought). Там было что-то вроде: «Я зашифровал 42 файла. Хорошо. Теперь нужно создать записку. Какой цвет фона лучше? Выберу красный — он вызывает тревогу». Sysdig вытащил этот лог и восстановил хронологию. AI пытался быть креативным, но в итоге оставил улики.

Роль человека: оператор, а не творец

Главный миф, разбитый JadePuffer: AI-агенты действуют полностью сами. Нет. Атаку спланировал человек. Он выбрал цель, разведал Langflow-инфраструктуру (судя по всему, через Shodan), написал промпт, который загрузил агента, и контролировал процесс через Telegram-бота. Агент лишь исполнял.

Более того, когда AI столкнулся с нестандартной ситуацией (защищенная папка с правами только для чтения), он не смог принять решение и завис в цикле. Оператору пришлось вручную скидывать новый промпт: «используй sudo с паролем, который я даю». Пароль, кстати, был «password123». Люди не меняются. Агентный ИИ в кибератаках 2026 — это симбиоз, где человек все еще слабое звено.

Что дальше: защита на скорости мысли

JadePuffer — это не последняя атака. Это первая ласточка. Теперь каждый script kiddie сможет скачать готового AI-агента с даркнета и направить на любую дыру. Langflow уже выпустил патч, но сколько еще компаний не обновились? Три реальные атаки на AI-агентов показывают, что защита должна быть многоуровневой.

Парадокс: AI-рансомварь медленнее человеческого, но он масштабируется. Один оператор может запустить 100 агентов одновременно. И не надо быть хакером — достаточно уметь формулировать промпты. Это меняет рынок киберпреступности. Барьер входа падает.

Совет, который спасет вам сеть: перестаньте верить, что AI работает сам. Настраивайте мониторинг на аномальное поведение моделей (не только на сигнатуры). Ограничьте вызовы LLM по времени и количеству. Защита RAG-систем здесь тоже в тему — если агент использует базу знаний, её отравление может его остановить. Но главное: никогда не давайте AI-агенту доступ к sudo. Даже если он обещает все зашифровать быстро и красиво.

Подписаться на канал