Первая полностью автономная атака AI-агента: что произошло и как защититься |
||
|
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Разработка ИИГородские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Атаки на ИИ Внедрение ИИИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Big data Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Авторизация |
2026-07-11 12:17 Исследователи Sysdig описали первую в истории полностью автономную атаку программы-вымогателя, выполненную AI-агентом без участия человека. Разбираем, как была построена цепочка компрометации, почему этот кейс важен для всех AI-агентов и какие меры помогут снизить риск подобных атак.
Информационная безопасность как услуга Предоставляем ИТ-инфраструктуру для проектов с повышенными требованиями безопасности, а также сервисы для защиты сетей, ОС и приложений. Как была проведена атака Исследователи Sysdig обнаружили, что AI-агент на базе LLM самостоятельно выполнил полный цикл атаки: проникновение в систему, кражу учетных данных, перемещение внутри сети, шифрование и уничтожение базы данных организации. Точкой входа послужила давно исправленная, но все еще широко распространенная уязвимость CVE-2025-3248 в Langflow — популярном инструменте с открытым исходным кодом для построения AI-приложений. Наличие уязвимости и отсутствие дополнительных мер безопасности (сервер с Langflow был доступен из интернета) позволяли любому атакующему, имеющему доступ к серверу, выполнять произвольный Python-код без входа в систему.
Цепочка заражения Получив доступ, AI-агент действовал быстро и методично. Он просканировал систему и собрал конфиденциальные данные: API-ключи AI-сервисов (OpenAI, Anthropic, DeepSeek, Gemini), облачные учетные данные (Alibaba, Tencent, AWS, Google, Azure), ключи криптокошельков и логины к базам данных. Агент обнаружил и «взломал» сервер MinIO, используя стандартные учетные данные по умолчанию ( Затем AI-агент переключился на основную цель — отдельный сервер с MySQL-базой данных. Используя уязвимость обхода аутентификации CVE-2021-29441 и стандартный ключ сервиса Nacos, который не менялся с 2020 года, AI-агент вошел в систему как администратор. Уничтожение без возможности восстановления Агент зашифровал все 1342 настройки Nacos, удалил исходные таблицы и оставил записку с требованием выкупа в биткоинах. Однако ключ шифрования, сгенерированный AI-агентом, был выведен на экран один раз и при этом не был сохранен или отправлен на сервер злоумышленников. Таким образом, восстановление данных было бы невозможно даже при условии оплаты. Несмотря на заявления в записке о шифровании AES-256, исследователи Sysdig отмечают, что используемый инструмент по умолчанию применяет более слабое шифрование AES-128. После шифрования агент удалил базы данных, оставив в своем коде комментарий о якобы скопированных данных, что также не подтвердилось. Как эксперты определили, что атаку вел AI-агент Ключевым признаком стало содержимое кода атаки. Вредоносный код содержал подробные пояснения на естественном языке, объясняющие каждый шаг — характерный признак работы языковой модели, которую вряд ли бы оставил «человек-хакер». Агент также исправлял собственные ошибки со скоростью машины. В одном случае он перешел от неудачной попытки входа к правильному многошаговому исправлению за 31 секунду, диагностировав точную причину сбоя вместо слепых повторных попыток. Всего Sysdig зафиксировала использование более 600 отдельных эксплойтов. И еще одна любопытная деталь: биткоин-адрес в записке о выкупе совпадал с примером из документации разработчиков Bitcoin. Он встречается в миллионах текстов, на которых обучались модели. Специалисты Sysdig не смогли определить, использовала ли модель знакомый адрес случайно или злоумышленник, который управлял AI-агентом, намеренно выбрал такой кошелек.
Рекомендации для защиты Поскольку теперь злоумышленники могут значительно дешевле создавать AI-агентов, атакующих системы по всему интернету, рекомендуем уделить особое внимание многоуровневой сегментации ИТ-инфраструктуры (об этом мы подробно рассказывали на вебинаре). Использование ИИ позволяет злоумышленникам за считаные часы превращать информацию о новой уязвимости в готовый эксплойт. По этой причине организациям стоит уделять больше внимания мониторингу информационной безопасности и выявлению подозрительной активности в сетевом трафике и на серверах. Это важно делать с помощью сетевых и хостовых систем обнаружения и предотвращения вторжений (IDS/IPS), а не полагаться исключительно на скорость, с которой DevOps-администраторы успевают устанавливать обновления безопасности.
Телеграм: t.me/ainewsline Источник: habr.com Комментарии: |
|