Bulut güvenlik firması Sysdig araştırmacıları, geçtiğimiz hafta 'ajan tabanlı fidye yazılımı' (agentic ransomware) olarak adlandırdıkları ilk vakayı belgelediklerini duyurdu. JadePuffer adı verilen bu gasp operasyonunda, bir yapay zeka ajanı, siber saldırının teknik yürütmesini baştan sona insan müdahalesi olmadan gerçekleştirdi. Ajan, savunmasız bir sunucuya sızdı, kimlik bilgilerini çaldı, ağ içinde yanal hareket yaptı, dosyaları şifreledi ve hatta kendi fidye notunu yazdı. Ancak Sysdig'in kıdemli tehdit araştırma direktörü Michael Clark, CyberScoop'a yaptığı açıklamada, insanın hâlâ işin içinde olduğunu vurguladı: 'Bir insan, operasyonu kurdu, yönlendirdi, altyapıyı, komuta-kontrol sunucusunu ve çalınan veriler için kullanılan hazırlık sunucusunu sağladı ve bir kurban seçti.' Ayrıca, kurbana ait veritabanına sızmak için kullanılan kimlik bilgilerinin AI ajanı tarafından toplanmadığını, daha önceki bir ihlalden elde edildiğini belirtti.
Saldırının teknik detayları oldukça dikkat çekici. Ajan, popüler bir açık kaynak LLM aracı olan Langflow'daki bilinen bir açıktan yararlanarak sisteme girdi, ardından bir MySQL sunucusuna geçerek başka bir bilinen açığı kullanarak yönetici erişimi elde etti. 1.300'den fazla yapılandırma kaydını şifreledi ve kendi yazdığı fidye notunun yanı sıra Bitcoin adresi bıraktı. Saldırıda kullanılan teknikler oldukça sıradan olsa da, hız ve şeffaflık dikkat çekiciydi. Ajan, başarısız bir oturum açma işlemini 31 saniyede düzeltti ve tüm süreç boyunca doğal dilde kod yorumlarıyla kendi mantığını anlattı.
Başlangıçta kafa karıştırıcı görünen bir detay da netleşti. Clark, saldırıda 'birden fazla model kullanıldığını' belirtmiş ve OpenAI, Anthropic, DeepSeek ve Gemini anahtarlarının ele geçirildiğini söylemişti. Ancak TechCrunch'a yaptığı açıklamada, bu anahtarların ajanın çaldığı 'yağmanın' bir parçası olduğunu, saldırıyı yönlendiren modellerin kanıtı olmadığını ifade etti. 'Ajan, Langflow sunucusundaki değerli her şeyi taradı: sağlayıcı API anahtarları, bulut kimlik bilgileri, kripto para cüzdanları ve veritabanı yapılandırmaları. Bu anahtarlar, saldırganın almaya değer gördüğü şeyleri gösteriyor, ancak hangi modelin kararları verdiğini söylemiyor.' Clark, JadePuffer'ı çalıştıran modelin kimliğini tespit edemediklerini de ekledi.
Microsoft araştırmacısı Geoff McDonald, saldırının arkasında, güvenlik eğitimi kaldırılmış açık ağırlıklı bir model olabileceğini öne sürdü. McDonald'ın uyarısına göre, fidye yazılımı kampanyaları artık insan çabasından çok saldırgan bütçesiyle sınırlı hale geldi ve 'binlerce veya on binlerce eşzamanlı kampanya' olasılığı doğdu. Ancak Clark'ın açıklamaları, her operasyon için bir insanın hâlâ kurban seçmesi, altyapı sağlaması ve veritabanı kimlik bilgilerini elde etmesi gerektiğini gösteriyor. Bu da bir darboğaz oluşturuyor. Clark, henüz aynı operasyonun başka kurbanlara yöneldiğini görmediklerini, ancak bir ajan çalıştırmanın maliyetinin düşük olması nedeniyle bunun değişmesini beklediklerini belirtti.