По данным отчёта исследователей Sysdig, агент JADEPUFFER стал первой задокументированной вымогательской операцией, выполненной полностью без участия человека. Атака началась с эксплуатации уязвимости CVE-2025-3248 в инструменте для построения ИИ-приложений Langflow. Патч для этой уязвимости был выпущен ещё в апреле 2025 года — за год до инцидента, но администраторы сервера его не установили. Получив доступ, агент собрал учётные данные, создал постоянный доступ и затем проник на отдельный production-сервер с базой данных MySQL. В результате было зашифровано 1 342 записи конфигурации и удалены исходные таблицы. Выкупная записка требовала Bitcoin на адрес, который, как выяснилось, оказался тестовым адресом из документации разработчиков — модель, вероятно, взяла его из обучающих данных.

Ключевым доказательством того, что атакой управлял ИИ, а не человек, стал момент, когда агент попытался создать учётную запись администратора, но потерпел неудачу. Всего через 31 секунду он отправил исправленную команду, которая диагностировала ошибку, удалила неработающую учётную запись и создала рабочую. Исследователи отметили, что человеку требуется значительно больше времени на анализ ошибки и переписывание скрипта. Кроме того, сгенерированный агентом код содержал комментарии на естественном языке, объясняющие, почему он удаляет конкретную базу данных — человеческие атакующие почти никогда не оставляют такие комментарии.

Ни один из отдельных методов атаки не был новым. Использовалась давно известная уязвимость и слабые пароли по умолчанию. Новизна состоит в том, что ИИ-модель соединила все этапы в единую операцию вымогательства, автоматически. Это снижает порог входа для таких атак до стоимости запуска ИИ-агента. Шейн Барни, руководитель отдела информационной безопасности Keeper Security, в комментарии Hackread подчеркнул, что JADEPUFFER — это не научная фантастика, а провал управления учётными данными на скорости машины. Он указал на исследование Keeper, согласно которому 72% организаций не могут обнаружить неправомерное использование учётных данных в реальном времени и часто замечают несанкционированный привилегированный доступ только спустя часы.

Атака была полностью автоматизирована: ИИ самостоятельно собирал учётные данные, настраивал доступ и шифровал базу MySQL.

Пока нет независимого подтверждения атаки от жертвы, правоохранительных органов или других компаний по безопасности. Sysdig, подготовивший отчёт, также продаёт продукты для обнаружения автоматизированных атак. Тем не менее, случай JADEPUFFER демонстрирует, что традиционные меры безопасности — своевременная установка патчей, ограничение привилегированного доступа и мониторинг сессий в реальном времени — становятся критически важными в эпоху агентного ИИ.