Na semana passada, pesquisadores da empresa de segurança em nuvem Sysdig disseram ter documentado o primeiro incidente conhecido de “ransomware”. Foi uma operação inovadora, chamada JadePuffer, na qual um agente de IA, e não um humano, cuidou da implementação técnica de um ataque cibernético no mundo real do início ao fim. O gerente invadiu o servidor vulnerável, roubou os documentos, passou pelas redes de proteção, criptografou arquivos e até escreveu sua própria nota de resgate, ajustando os bloqueios como um hacker faria. A cobertura da fazenda a descreve como “sem supervisão humana” e “nenhum humano no teclado”.
Isso não é suficiente completo imagem Em um conversa na segunda-feira, na CyberScoop, Michael Clark Sysdig, diretor sênior de pesquisa de ameaças da empresa, explicou que a pessoa ainda está muito envolvida – mas não na execução técnica. “Uma pessoa ainda configurou e demonstrou a operação e alimentou a infraestrutura por trás dela, comandando e controlando o servidor, utilizando o servidor de teste para o roubo de dados da vítima”, disse Clark. Os dados utilizados na violação de dados das vítimas, acrescentou, não foram medidos pelo próprio agente de IA; que os separou por compromisso e os entregou à operação.
Nada disso contradiz a afirmação original de Sysdig, e cada uma de suas técnicas de ataque permanece selvagem, até mesmo notável. Mas trabalhando com um bug conhecido Fluxo Languma ferramenta popular de código aberto para criar aplicativos LLM, depois foi para o servidor MySQL de produção e explorou outra vulnerabilidade conhecida do administrador de ganho. Nas notas de configuração, ele escreveu 1.300 e não apenas deixou uma nota de resgate que ele mesmo escreveu, mas também deixou um endereço Bitcoin para onde o resgate poderia ser enviado. Sysdig não revelou quem foi o alvo.
As técnicas parecem bastante comuns, mas a velocidade e a clareza envolvidas se destacaram. Um login fixo falhou em 30 segundos, explicando sua conta em código de linguagem natural durante todo o processo.
Os detalhes que inicialmente pareciam perturbar o quadro foram posteriormente esclarecidos. Clark disse à CyberScoop que Sysdig encontrou “muitos exemplos usados no ataque”, falando de uma coleção de chaves para OpenAI, Anthropic, DeepSeek e Gemini, o que deixou em aberto a questão de saber se mais exemplos estavam executando ativamente diferentes níveis de hacking. Solicitado a esclarecer, Clark disse ao TechCrunch que essas chaves eram simplesmente parte do roubo do agente, e não uma prova do que estava acontecendo.
“O agente Langflow retirou os objetos de valor do host – chaves do provedor de API, credenciais de nuvem, carteiras de criptomoedas e tokens de banco de dados – e essas chaves do provedor foram o saque”, disse ele por e-mail. “Eles indicam o que um invasor aceitável deveria ser, mas não nos dizem quais modelos de decisões tomar.”
Quanto ao modelo que o JadePuffer está realmente executando, Clark disse que a Sysdig “não foi capaz de identificar o modelo específico do agente” e não tem visibilidade da disponibilidade ou configuração do sistema.
O pesquisador da teoria da Microsoft, Geoff McDonald, oferecido no LinkedIn vale a pena revisitar essa luz há alguns dias. McDonald suspeitou do padrão de peso aberto ao retirar o treinamento seguro, ao invés do padrão do limite, após o ataque com base em sua experiência como red-comer mostrando que os limites das ‘camadas de segurança dos laboratórios são bem suportados’. Sysdig não confirma nem controla seu próprio sistema.
O presidente McDonald também alertou que as campanhas pagas são agora limitadas principalmente pelo orçamento do invasor e não pelo esforço humano, levantando a possibilidade de “mil ou dez mil campanhas simultâneas”. Essa preocupação é um pouco mais difícil de conciliar com o que Clark descreveu na segunda-feira. (Se uma pessoa ainda precisa selecionar hosts individuais, provisionar infraestrutura e obter credenciais de banco de dados para cada operação, esse é o menor gargalo, pelo menos).
De qualquer forma, Clark disse ao CyberScoop que, embora Sysdig ainda não tenha visto a mesma operação atingir outras vítimas, o quão barato é operar o agente é algo que ele espera mudar.
Quando você compra através dos links de nossos artigos, podemos ganhar uma pequena comissão. Isto não afeta a nossa independência editorial.



