Siber güvenlik firması Sysdig, ilk kez tamamen bir yapay zeka ajanı tarafından baştan sona yürütülen bir fidye yazılımı saldırısı tespit ettiğini duyurdu. JADEPUFFER adı verilen bu operasyonda, büyük bir dil modeli (LLM) tüm adımları kendi başına gerçekleştirdi: sisteme sızma, kimlik bilgilerini çalma, ağda yanal hareket etme ve bir şirketin üretim veritabanını şifreleyip silme. Geleneksel fidye yazılımı saldırılarında genellikle bir insan uzmanın klavyede olması veya kötü amaçlı yazılımın izleyeceği betiği yazması gerekirken, bu yeni yaklaşımda saldırıyı gerçekleştirmek için gereken beceri, bir AI ajanı kiralamakla sınırlı.
Saldırının giriş noktası, daha önce yamalanmış eski bir güvenlik açığı oldu. JADEPUFFER, AI uygulamaları ve ajan iş akışları oluşturmak için kullanılan açık kaynaklı bir araç olan Langflow'daki CVE-2025-3248 numaralı kimlik doğrulama eksikliği açığını kullandı. Bu açık, sunucuya erişebilen herkesin giriş yapmadan kendi Python kodunu çalıştırmasına izin veriyor. Langflow kutuları, genellikle internete açık oldukları ve bağlandıkları hizmetlere ait API anahtarlarını ve bulut kimlik bilgilerini barındırdıkları için cazip hedefler haline geliyor. Açık, Langflow 1.3.0 ile giderilmiş olsa da, birçok sunucu güncellenmedi.
İçeri sızdıktan sonra ajan hızlı hareket etti ve arkasını temizledi. Makineyi haritalayarak OpenAI, Anthropic, DeepSeek, Gemini gibi AI hizmetlerine ait API anahtarlarını, AWS, Google, Azure, Alibaba ve Tencent gibi bulut sağlayıcılarının kimlik bilgilerini, kripto para cüzdan anahtarlarını ve veritabanı girişlerini topladı. Ardından, varsayılan yönetici şifresi (minioadmin:minioadmin) değiştirilmemiş bir MinIO depolama sunucusuna sızdı ve her 30 dakikada bir saldırganın sunucusuna ping atan bir zamanlanmış görev oluşturarak kalıcılık sağladı. Asıl hedefi ise internete açık bir MySQL veritabanı ve Alibaba'nın Nacos hizmetini çalıştıran ayrı bir sunucuydu. Ajan, veritabanına root olarak giriş yaptı ve Nacos'u ele geçirmek için 2021 tarihli bir kimlik doğrulama atlatma açığı (CVE-2021-29441) ile değişmeyen varsayılan imzalama anahtarını kullandı.
Ajan, 1.342 Nacos ayarını şifreledi, orijinal tabloları sildi ve Bitcoin talep eden bir fidye notu bıraktı. Ancak şifreleme anahtarını rastgele oluşturup yalnızca bir kez ekrana yazdırdı ve hiçbir yere kaydetmedi veya göndermedi. Bu nedenle fidye ödense bile veriler kurtarılamaz. Sysdig, ajanın kendi kodunda verileri kopyaladığını iddia etse de buna dair kanıt bulunamadı. AI'ın saldırıyı yönettiğinin en belirgin işareti, insan bir hacker'ın asla yazmayacağı, her adımın nedenini açıklayan düz İngilizce notlar içeren saldırı yükleriydi. Ajan ayrıca hatalarını makine hızında düzeltti; 31 saniye içinde başarısız bir girişten doğru bir düzeltmeye geçti. Sysdig, operasyon boyunca 600'den fazla bağımsız ve amaçlı yük tespit etti.