Geçen hafta, bulut güvenlik firması Sysdig'deki araştırmacılar bilinen ilk "ajans fidye yazılımı" vakasını belgelediklerini söyledi. Bu, JadePuffer adı verilen ve bir insan değil, bir yapay zeka ajanının gerçek dünyadaki bir siber saldırının teknik uygulamasını baştan sona gerçekleştirdiği bir gasp operasyonuydu. Ajan, savunmasız bir sunucuya sızdı, kimlik bilgilerini çaldı, hedefin ağında dolaştı, dosyaları şifreledi ve hatta kendi fidye notunu yazarak, bir insan hacker'ın yapacağı gibi engellere uyum sağladı. Operasyonun kapsamı, operasyonun "herhangi bir insan gözetimi olmadan", "klavyede hiçbir insan olmadan" yürütüldüğü şeklinde tanımlandı.
Bu tam olarak resmin tamamı değil. Sysdig'den şirketin tehdit araştırmasından sorumlu kıdemli yöneticisi Michael Clark, Pazartesi günü CyberScoop ile yaptığı bir röportajda, bir insanın hala işin içinde olduğunu ancak teknik uygulamada olmadığını açıkladı. Clark, "Hala bir insan operasyonu kurup yönlendirdi ve arkasındaki altyapıyı, komuta ve kontrol sunucusunu, çalınan veriler için kullanılan hazırlama sunucusunu sağladı ve bir kurban seçti" dedi. Kurbanın veri tabanına sızmak için kullanılan kimlik bilgilerinin yapay zeka ajanının kendisi tarafından toplanmadığını ekledi; Birisi önceden uzlaşma yoluyla bunları ayrı ayrı ele geçirdi ve operasyona teslim etti.
Bunların hiçbiri Sysdig'in orijinal iddiasıyla çelişmiyor ve saldırının teknik ayrıntıları tek başına dikkate değer, hatta çılgınca. Aracı, LLM uygulamaları oluşturmaya yönelik popüler bir açık kaynak araç olan Langflow'taki bilinen bir hatayı aştı, ardından üretim MySQL sunucusuna geçti ve yönetici erişimi elde etmek için bilinen başka bir kusurdan yararlandı. 1.300'den fazla konfigürasyon kaydını şifreledi ve arkasında sadece kendisinin yazdığı bir fidye notu bırakmakla kalmadı, aynı zamanda fidyenin gönderilebileceği bir Bitcoin adresi de bıraktı. Sysdig kimin hedef alındığını açıklamadı.
Görünüşe göre teknikler oldukça sıradandı; göze çarpan şey hız ve şeffaflıktı. Temsilci, başarısız bir oturum açma işlemini 31 saniye içinde düzeltti ve tüm yol boyunca doğal dildeki kod yorumlarında kendi gerekçesini anlattı.
Başlangıçta tabloyu bulanıklaştıran bir detay, daha sonra açıklığa kavuşturuldu. Clark, CyberScoop'a Sysdig'in OpenAI, Anthropic, DeepSeek ve Gemini için toplanan anahtarlara atıfta bulunarak "saldırıda birden fazla model kullanıldığını" tespit ettiğini söylemişti. Bu dil, birkaç modelin saldırının farklı aşamalarını aktif olarak destekleyip desteklemediği sorusunu açık bırakıyordu. Açıklığa kavuşturulması istenen Clark, TechCrunch'a bu anahtarların onu neyin yönlendirdiğinin kanıtı değil, ajanın çaldığı şeyin bir parçası olduğunu söyledi.
Önemli Gelişmeler
E-posta yoluyla, "Ajan, Langflow ana bilgisayarında değerli her şeyi (sağlayıcı API anahtarları, bulut kimlik bilgileri, kripto para birimi cüzdanları ve veritabanı yapılandırmaları) bulmak için taradı ve bu sağlayıcı anahtarları da ganimetin bir parçasıydı" dedi. "Bunlar, saldırganın neyi almaya değer olduğunu düşündüğünün göstergesidir ancak kararları hangi modelin verdiğini bize söylemezler."
Aslında JadePuffer'ı çalıştıran model hakkında Clark, Sysdig'in "aracıyı çalıştıran spesifik modeli belirleyemediğini" ve sistem istemi veya konfigürasyonu hakkında görünürlüğe sahip olmadığını söyledi.
Detaylar ve Etkileri
Microsoft araştırmacısı Geoff McDonald'ın birkaç gün önce LinkedIn'de sunduğu teorisi bu açıdan yeniden ele alınmaya değer. McDonald, sınır laboratuvarlarının güvenlik katmanlarının iyi durumda olduğunu gösteren kendi kırmızı ekip deneyimine dayanarak, saldırının arkasında sınır modeli yerine güvenlik eğitimi çıkarılmış açık ağırlıklı bir modelin olduğundan şüpheleniyordu. Sysdig'in kendi hesabı bunu onaylamıyor veya dışlamıyor.
McDonald's'ın gönderisinde ayrıca, fidye yazılımı kampanyalarının artık insan çabasından ziyade öncelikli olarak saldırganın bütçesiyle sınırlı olduğu ve "binlerce veya onbinlerce eşzamanlı kampanya" olasılığını artırdığı konusunda da uyarıda bulunuldu. Bu endişeyi Clark'ın Pazartesi günü tanımladığı şeyle bağdaştırmak biraz daha zor. (Hala her kurbanı bir insanın seçmesi, altyapıyı hazırlaması ve her işlem için veritabanı kimlik bilgileri alması gerekiyorsa, bu en azından biraz darboğaz demektir.)
Her iki durumda da Clark CyberScoop'a şunları söyledi: Sysdig aynı operasyonun başka kurbanlara da isabet ettiğini görmese de, bir ajan çalıştırmanın ne kadar ucuz olduğu göz önüne alındığında bunun değişmesini bekliyor.