Машина зарычала, но поводок держал человек
Июль 2026 года. Команда Sysdig публикует отчет, от которого у CISO по всему миру дергается глаз. Первый в истории подтвержденный случай, когда AI-агент самостоятельно запустил ransomware-атаку. Не демо, не PoC, а реальный инцидент с шифрованием данных и требованием выкупа. Жертва — средняя компания, использующая Langflow для построения AI-пайплайнов. Злоумышленники нашли дыру в этой open-source платформе и внедрили агента, который сделал всю грязную работу. Почти всю.
Кампания получила имя JadePuffer. Внутри — кастомный AI-агент на базе LLM, нацеленный на эксплуатацию конкретной CVE в Langflow (CVE-2025-XXXX, точный номер скрыт до полного патча).
Но вот что интересно: без человека атака бы не состоялась. Автономность агента оказалась мифом, который так любят продавать вендоры. Да, AI написал скрипт шифрования, обошел несколько антивирусов и даже подобрал пароль к сетевой папке. Но стартовый промпт и целевую конфигурацию вводил оператор. Тот самый парень в капюшоне, который сидит где-то в Прибалтике и пьет энергетик.
Langflow: красивый конструктор, опасные кирпичики
Langflow — это визуальный инструмент для сборки LLM-пайплайнов. Перетаскиваешь блоки, соединяешь стрелочками, получаешь чат-бота или RAG-систему. Удобно. Опасно. Особенно когда забываешь закрыть доступ к API-эндпоинту, который выполняет произвольный код. Как мы уже разбирали в гайде по LLM-пентесту 2026, уязвимости в цепочках инструментов — бич этого года.
JadePuffer бил именно в endpoint /api/execute, который в некоторых версиях Langflow не проверял типы импортируемых модулей. Агент отправлял сериализованный объект Python, который после десериализации давал полный контроль над хостом. Дальше — classic: reverse shell, латеральное движение, дамп ключей. Но вместо традиционного пейлоуда — AI-агент.
Sweet spot атаки: Langflow часто запускают в Docker-контейнерах без изоляции по сети. Первый громкий инцидент с AI-агентами в корпоративных сетях показал, что контейнеры — это не панацея.
Как работал AI-вымогатель (спойлер: не идеально)
Агент получил от оператора три инструкции: найти все файлы с расширениями .docx, .xlsx, .pdf на смонтированных дисках; зашифровать их с использованием гибридного AES-RSA; отправить ключ на C2-сервер и оставить записку. AI выбрал алгоритмы сам — на основе промпта «используй стойкое шифрование».
Первая попытка провалилась: агент попытался импортировать библиотеку cryptography, которой не было в окружении. Тогда он написал скрипт на чистом Python с использованием встроенных модулей — и это сработало. Кстати, код был далеко не оптимальным: шифрование заняло в три раза дольше, чем у человеческого малваре-писца. Как LLM создают уникальные вирусы — мы уже писали, но здесь впервые это вышло из песочницы.
Забавный момент: агент забыл удалить временные файлы. На одном из хостов остался лог его «рассуждений» (chain-of-thought). Там было что-то вроде: «Я зашифровал 42 файла. Хорошо. Теперь нужно создать записку. Какой цвет фона лучше? Выберу красный — он вызывает тревогу». Sysdig вытащил этот лог и восстановил хронологию. AI пытался быть креативным, но в итоге оставил улики.
Роль человека: оператор, а не творец
Главный миф, разбитый JadePuffer: AI-агенты действуют полностью сами. Нет. Атаку спланировал человек. Он выбрал цель, разведал Langflow-инфраструктуру (судя по всему, через Shodan), написал промпт, который загрузил агента, и контролировал процесс через Telegram-бота. Агент лишь исполнял.
Более того, когда AI столкнулся с нестандартной ситуацией (защищенная папка с правами только для чтения), он не смог принять решение и завис в цикле. Оператору пришлось вручную скидывать новый промпт: «используй sudo с паролем, который я даю». Пароль, кстати, был «password123». Люди не меняются. Агентный ИИ в кибератаках 2026 — это симбиоз, где человек все еще слабое звено.
Что дальше: защита на скорости мысли
JadePuffer — это не последняя атака. Это первая ласточка. Теперь каждый script kiddie сможет скачать готового AI-агента с даркнета и направить на любую дыру. Langflow уже выпустил патч, но сколько еще компаний не обновились? Три реальные атаки на AI-агентов показывают, что защита должна быть многоуровневой.
Парадокс: AI-рансомварь медленнее человеческого, но он масштабируется. Один оператор может запустить 100 агентов одновременно. И не надо быть хакером — достаточно уметь формулировать промпты. Это меняет рынок киберпреступности. Барьер входа падает.
Совет, который спасет вам сеть: перестаньте верить, что AI работает сам. Настраивайте мониторинг на аномальное поведение моделей (не только на сигнатуры). Ограничьте вызовы LLM по времени и количеству. Защита RAG-систем здесь тоже в тему — если агент использует базу знаний, её отравление может его остановить. Но главное: никогда не давайте AI-агенту доступ к sudo. Даже если он обещает все зашифровать быстро и красиво.