BezpieczeństwoAtak, który przeprowadził się sam. I co z tego wynika dla twojej firmy? > Robert Kamiński Opublikowane 14 lipca 20260 0 6 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Serwer, który przez pięć lat nikomu nie przeszkadzał, wisiał sobie w internecie z nieaktualną wtyczką. Nikt go nie ruszał, bo działał. Pewnego dnia coś się do niego zalogowało, nie dało rady za pierwszym razem, zdiagnozowało własny błąd i trzydzieści jeden sekund później zalogowało się poprawnie. Potem zaszyfrowało bazę i skasowało oryginały. Człowiek nie siedział przy klawiaturze. Przy klawiaturze nie siedział nikt. To nie jest scenariusz z konferencji o „przyszłości zagrożeń”. To udokumentowany incydent, który zespół badawczy firmy Sysdig opisał na początku lipca — i który, warto od razu powiedzieć, przeszedł niezależną weryfikację branżowych redakcji, od BleepingComputera po Dark Reading. Nazwali go JadePuffer.Co się właściwie stało?Sysdig określa sprawcę mianem „agentowego aktora zagrożeń” — czyli takiego, którego zdolność do ataku dostarcza agent AI, a nie zestaw narzędzi obsługiwany przez człowieka. Punktem wejścia była wystawiona do internetu instancja Langflow — otwartego narzędzia do budowania aplikacji AI — z niezałataną luką (CVE-2025-3248). Stamtąd agent przeszedł na drugą maszynę: produkcyjny serwer z bazą MySQL i usługą konfiguracyjną Alibaba Nacos. Dark ReadingI tu robi się nieprzyjemnie konkretnie. Agent prowadził rozpoznanie, wykradał dane logowania, poruszał się po sieci, zakładał trwały dostęp i szyfrował dane — a kiedy coś nie wychodziło, adaptował się jak człowiek. Owe trzydzieści jeden sekund między nieudanym a udanym logowaniem to nie anegdota — to zmierzony czas, w jakim model sam rozpoznał przyczynę błędu i wygenerował poprawkę. Na koniec zaszyfrował 1342 elementy konfiguracji Nacos i usunął oryginały. Bleeping ComputerInfosecurity MagazineSysdig zwraca uwagę na jeden trop, który przesądził o rozpoznaniu autorstwa: ładunki napisane przez agenta same się tłumaczyły — zawierały komentarze w naturalnym języku, uzasadnienia, priorytety, których człowiek zwykle nie zapisuje, a które model produkuje odruchowo. Kod, który po drodze notuje, dlaczego robi to, co robi. Trochę jak włamywacz, który zostawia na miejscu pamiętnik. Dark ReadingDlaczego to nie jest „AI została hakerem”Zanim przejdziemy do wniosków, jedno rozbrojenie. Kamil Sadkowski, analityk ESET (komentarz przesłany za pośrednictwem agencji PR producenta), studzi sensacyjny ton: nie ma dowodów, że AI sama wybrała cel, określiła zakres operacji ani zainicjowała atak z własnej woli. Decyzja, ofiara i motyw najprawdopodobniej nadal należały do człowieka.To ważne, bo zmienia sens historii. Nie chodzi o to, że maszyna się zbuntowała. Chodzi o coś bardziej przyziemnego i przez to groźniejszego: próg wejścia do prowadzenia ransomware spadł do kosztu uruchomienia agenta — a jeśli agent działa na skradzionych danych dostępowych, koszt dla atakującego jest bliski zeru. Żadna z użytych technik nie była nowa. Nowe jest to, że nikt nie musiał ich umieć. Dotąd ransomware wymagał fachowca gdzieś w łańcuchu. Teraz fachowca zastępuje subskrypcja. SysdigTrzy rzeczy, które właściciel firmy powinien zrobić w tym tygodniu!Tu przestaje być ciekawie, a zaczyna praktycznie. JadePuffer nie zaatakował dlatego, że był genialny. Zaatakował, bo miał gdzie. I to jest cała lekcja.Po pierwsze: łatanie przestało być kwestią higieny, stało się kwestią czasu. Do Nacos agent dostał się przez lukę z 2021 roku — czteroletnią, z dostępną od dawna poprawką. Dopóki dziurę wykorzystywał człowiek, miałeś margines: ktoś musiał ją znaleźć, zrozumieć, dopasować do twojego serwera. Ten margines właśnie zniknął. Automat przeczesuje, łączy i wykorzystuje znane podatności szybciej, niż zdążysz o nich przeczytać. Niełatany system wystawiony do internetu to już niezaniedbanie — to zaproszenie z adresem.Po drugie: sprawdź, co masz wystawione do sieci. Oba punkty ataku łączy jedno — były dostępne z internetu. Panel administracyjny, testowe narzędzie, „tymczasowa” instancja, którą ktoś postawił dwa lata temu i zapomniał. To są dziś pierwsze drzwi. Nie największe, nie najlepiej strzeżone — pierwsze. Warto zrobić prostą inwentaryzację: co z naszej firmy widać z zewnątrz i czy każda z tych rzeczy naprawdę musi tam być.Po trzecie — i najmniej oczywiste: kopie zapasowe, bo okup nie ratuje. W tym ataku klucz szyfrujący został wygenerowany losowo, wypisany na ekran i nigdy nigdzie nie zapisany ani nie wysłany. Ofiara nie odzyska danych nawet po zapłacie. To zmienia kalkulację, którą po cichu robi wielu przedsiębiorców: „w najgorszym razie zapłacę i odzyskam”. Nie odzyskasz. Zostaje ci wyłącznie to, co masz w niezależnej, odłączonej kopii. Jeśli takiej nie masz, nie masz planu B — masz nadzieję. Infosecurity MagazineW całej sprawie jest szczegół, który mówi o niej więcej niż raporty. Adres portfela bitcoin w żądaniu okupu mógł zostać przez model po prostu zmyślony — zahalucynowany z danych treningowych. Możliwe więc, że pierwszy w historii w pełni autonomiczny ransomware żądał zapłaty na cudze konto. TekediaTo dobrze oddaje moment, w którym jesteśmy. Napastnik jest szybki, tani i niestrudzony — i jednocześnie na tyle niedbały, że może wyciągnąć rękę po okup, którego nie odbierze. Zła wiadomość: takich rąk będzie coraz więcej. Dobra: sięgają dokładnie tam, gdzie zostawiliśmy otwarte. Zamknięcie tych drzwi wciąż zależy od człowieka. Na razie.Related PostsPrzeczytaj również! Co oznacza „zero trust”? Świąteczne zakupy w pełni uważaj na internetowe oszustwa ZUS pod ochroną