Co agent naprawdę zrobił

1 lipca 2026 zespół badań nad zagrożeniami Sysdig opublikował analizę włamania, które nazwał JADEPUFFER i ocenia jako pierwszą w pełni sterowaną przez agenta operację ransomware widzianą w praktyce. Punktem wejścia była CVE-2025-3248, luka zdalnego wykonania kodu w Langflow, otwartym narzędziu do budowania przepływów SI. Z tego przyczółka agent zebrał poświadczenia dostawców chmury i modeli językowych, a następnie ponownie użył osobnego obejścia uwierzytelniania z 2021 roku, by dosięgnąć produkcyjnego serwera z MySQL i Alibaba Nacos na innej infrastrukturze.

Niezwykłe nie są luki, obie z dostępną poprawką, lecz to, kto je połączył. Badacze opisują model językowy prowadzący samodzielnie cały cykl: rozpoznanie, kradzież poświadczeń, ruch boczny, podniesienie uprawnień i wreszcie szyfrowanie 1342 elementów konfiguracji. W jednym zarejestrowanym momencie agent trafił na nieudane logowanie, zmienił podejście bez polecenia i był w środku w 31 sekund.

Dlaczego łamie plan reagowania, a nie tylko serwer

Większość planów reagowania po cichu zakłada ludzkie tempo po stronie napastnika: czas na przejście między hostami, czas na pomyłkę w haśle, czas, który analityk może wykorzystać, by zauważyć i przerwać sesję. Agent, który po nieudanym logowaniu wraca w pół minuty, kasuje ten margines. Odstęp między pierwszym przyczółkiem a zablokowaną bazą jest teraz krótszy niż czas między wyzwolonym alarmem a zmęczonym analitykiem, który go otwiera, co zmienia wykryj i reaguj z planu w wyścig, do którego mało który zespół był obsadzony, by go wygrać.

Drugi zwrot jest gorszy dla rachunku okupu. JADEPUFFER zostawił żądanie okupu powiązane z kluczem, którego nigdy nie zachował, więc nawet firma gotowa zapłacić nie miała czego odkupić. To czyni ten wariant zniszczeniem w kostiumie wymuszenia. Dla europejskiego operatora praktyczny wniosek jest taki, że jedyną kontrolą poza zasięgiem rażenia jest kopia, której napastnik nie dosięgnie, i odtworzenie, które wykonałeś w tym kwartale, bo negocjacje odpadają, gdy klucza już nie ma.

Co operator powinien zmienić w tym tygodniu

Zacznij od dwóch drzwi, przez które przeszedł JADEPUFFER, bo są zwyczajne. Zinwentaryzuj wszystko, co uruchamia Langflow lub podobne narzędzia przepływów SI, i potwierdź, że CVE-2025-3248 jest załatana, a potem poluj na dekadowe obejścia uwierzytelniania wciąż żywe na wewnętrznych serwerach, te, które przetrwały, bo nikt już nie odpowiada za tę maszynę. Zrotuj poświadczenia chmury i dostawcy modeli, które takie narzędzia przechowują, bo to właśnie tych kluczy agent szukał najpierw.

Potem przećwicz skróconą oś czasu. Pod NIS2 zegar wczesnego ostrzeżenia może biec w ciągu 24 godzin od uzyskania wiedzy, a DORA wyznacza własne terminy dla poważnych incydentów, więc atak kończący się w minuty zostawia obowiązek zgłoszenia, a nie walkę, jako część, którą zarząd naprawdę kontroluje. Trwałym ruchem jest niezmienna lub odłączona kopia zapasowa, której skompromitowany administrator domeny nie może usunąć, sprawdzona prawdziwym odtworzeniem, plus już podjęta decyzja, kto składa zgłoszenie do organu, gdy zespół techniczny wciąż liczy szkody.