Атаку провёл ИИ: впервые задокументировано вторжение под управлением LLM-агента

Команда Sysdig Threat Research описала начальный в своей практике случай, когда после проникновения в инфраструктуру жертвы дальнейшие действия выполнял не человек по заранее заготовленному сценарию, а автономный LLM-агент.

Точкой входа стал Python-блокнот Marimo — интерактивная среда вычислений в стиле Jupyter, — по неосторожности доступный из интернета. Через критическую уязвимость CVE-2026-39987 (предавторизационный RCE: один WebSocket-запрос открывает интерактивную shell-сессию без логина и пароля) атакующий получил доступ к хосту. Уязвимость закрыта в версии Marimo 0.23.0.

Дальше всё делал ИИ. Агент нашёл и забрал два набора облачных учётных данных (ключи доступа), через распределённый пул выходных адресов вытащил закрытый SSH-ключ из AWS Secrets Manager, открыл восемь коротких SSH-сессий к bastion-серверу и выгрузил схему и всё содержимое внутренней базы PostgreSQL — менее чем за две минуты. Вся цепочка от уязвимости до кражи базы заняла меньше часа.

Главная сложность — не сама уязвимость (она уже исправлена), а то, насколько такую атаку видно средствам защиты. Классические сигнатурные системы ловят атаки по устойчивым признакам: постоянному User-Agent, одинаковому порядку команд, повторяющемуся набору запросов. У атаки под управлением ИИ-агента такого узнаваемого «отпечатка» нет — он каждый раз действует по-разному, подстраиваясь под конкретную цель. Среди признаков «агентности» исследователи отметили импровизированный перебор структуры базы и комментарий-план на китайском языке.

Вывод для бизнеса: цена одной «забытой» публично доступной службы выросла — теперь ИИ-агент проходит путь от уязвимости до базы данных за считаные минуты. Базовые меры остаются прежними, но спрос на их зрелость растёт: ничего лишнего не должно быть доступно из интернета, секреты и ключи — в защищённом хранилище с жёстким разграничением доступа, сеть сегментирована, а за аномальным поведением кто-то следит круглосуточно.

В облаке Cloud4Y перечисленное закрывается на уровне инфраструктуры: защищённый виртуальный ЦОД с веб изоляцией и сегментацией, межсетевое экранирование и безопасность от DDoS, управление доступом, мониторинг и реагирование на инциденты, а также резервное копирование и аварийное восстановление (DRaaS) — чтобы данные можно было быстро восстановить даже после успешной атаки. Это та самая «несигнатурная» зрелость защиты, о необходимости которой и говорит разбор Sysdig.

Подробнее об облаке и услугах — на сайте Cloud4Y.