È noto che i modelli AI vengono utilizzati per cercare vulnerabilità e scrivere il codice degli exploit (malware). I ricercatori di Sysdig hanno scoperto il primo attacco ransomware controllato interamente da un agente AI. Tutti i passi, dall’accesso iniziale alla richiesta del riscatto, sono stati eseguiti in maniera automatica, senza nessun intervento umano.
JadePuffer: primo ransomware agentico
JadePuffer ha sfruttato la vulnerabilità CVE-2025-3248 di Langflow, un popolare famework open source per lo sviluppo di applicazioni AI. La patch è disponibile dal 1 aprile 2025, ma ci sono ancora istanze vulnerabili accessibili da Internet. Il bug consente l’accesso remoto senza autenticazione e l’esecuzione di codice Python sul server.
Dopo aver ottenuto l’accesso, JadePuffer ha iniziato a cercare e raccogliere numerosi dati sensibili, tra cui chiavi API di modelli AI (OpenAI, Anthropic, DeepSeek, Gemini e altri), credenziali cloud e file di configurazione. Ha inoltre effettuato il dumping di un database PostgreSQL e stabilito la persistenza per mantenere l’accesso.
L’agente AI ha quindi spostato l’attenzione su un server MySQL. Sfruttando diverse vulnerabilità di Nacos (Naming and Configuration Service) eseguito sul server ha ottenuto l’accesso con privilegi di amministratore, cancellato l’account admin e creato un suo account admin. Successivamente ha installato un ransomware, cifrato i file di configurazione, cancellato i file originari e scritto il testo per chiedere il pagamento del riscatto in Bitcoin.
La chiave di cifratura è stata generata casualmente e mai salvata o inviata, quindi un’eventuale vittima non avrebbe potuto decifrare i file dopo aver pagato il riscatto. Gli esperti di Sysdig hanno trovato anche il ragionamento fatto dall’agente AI per effettuare l’accesso al server in 31 secondi, dopo i tentativi falliti.
Utilizzando un agente AI è possibile quindi eseguire attacchi a costo quasi zero. Occorre pertanto individuare e correggere le vulnerabilità nel minor tempo possibile.