A zsarolóvírusok eddig is iparszerűen működtek — de mi történik, ha a támadást nem egy emberi operátor „vezényli le”, hanem egy AI-ügynök, amely másodpercek alatt javítja a saját hibáit? A JadePuffer esete pont ezt a kényelmetlen kérdést teszi fel.

Mi történt

Biztonsági kutatók egy JadePuffer nevű zsarolóvírus-kampányt azonosítottak, amelynél a jelek szerint a teljes műveletet end-to-end egy nagy nyelvi modell (LLM) irányította. Az LLM-et úgy képzeld el, mint egy rendkívül rugalmas „szöveg- és kódmotoros” rendszert: nem csak válaszol, hanem képes lépéseket tervezni, eszközöket futtatni, és a kapott eredmények alapján módosítani a stratégiáját.

A behatolás kiindulópontja egy CVE-2025-3248 azonosítójú, javítatlan sebezhetőség volt a Langflow-ban. A Langflow egy nyílt forráskódú eszköz „ügynökös” AI-alkalmazások építéséhez — vagyis olyan rendszerekhez, amelyek több lépésben, eszközöket használva hajtanak végre feladatokat. A sebezhetőség típusa „hitelesítés nélküli távoli kódfuttatás” (unauthenticated RCE), ami leegyszerűsítve azt jelenti: ha a rendszer kitett és nincs foltozva, a támadó belépés nélkül is elérheti, hogy a szerver tetszőleges kódot futtasson.

Az AI-vezérelt lánc ezután felderítette a környezetet, és érzékeny adatokat próbált összegyűjteni: belépési adatokat, felhős kulcsokat, LLM-hez tartozó API-kulcsokat, kriptotárca-információkat és seed phrase-eket (a tárca visszaállítására szolgáló szavakat), adatbázis- és konfigurációs fájlokat. Miután tartós jelenlétet alakított ki a Langflow környezetben, átpivotált (oldalirányú mozgással továbblépett) a valódi célpontra: egy éles, Alibaba Nacos konfigurációs szolgáltatást futtató szerverre. Itt telepítette a zsarolóvírust, titkosította a fájlokat, majd Bitcoinban követelt váltságdíjat.

Miért fontos

A JadePuffer nem azért ijesztő, mert új támadási „receptet” talált fel, hanem mert a meglévőt automatizálta és felgyorsította. A kampány egyik árulkodó eleme az volt, hogy a kód „önmagyarázó” módon annotálta a lépéseket — mintha egy operátor jegyzetelné, mit miért csinál. Egy másik ponton a rendszer elakadt a cél elérésében, majd nagyjából fél percen belül kiszámolt egy javítást, és új payloadot (végrehajtandó kódrészletet) állított elő. Ez a „gépi tempó” azért kritikus, mert a védelmi oldalon a klasszikus incidenskezelés sokszor emberi döntési ciklusokra épül: riasztás, triázs, egyeztetés, beavatkozás. Ha a támadó néhány tíz másodperc alatt iterál, a reakcióablak drasztikusan összeszűkül. A ZDNet AI anyagában idézett Noelle Murata ezt alapvető képességváltásként értelmezi: a támadók a merev, szkriptelt módszerekről az autonóm, alkalmazkodó végrehajtás felé mozdulnak.

Mire figyelj

  1. Foltozás és kitettségkezelés: az ilyen láncok gyakran „unalmas” belépőkkel indulnak — egy publikus, javítatlan RCE elég. A kérdés nem az, hogy okos-e a támadó, hanem hogy mennyi ideig marad nyitva az ajtó.
  2. Viselkedésalapú észlelés: amikor a támadó gyorsan váltogatja az eszközöket és lépéseket, a fix minták (aláírások) könnyebben lemaradnak. A viselkedés (szokatlan folyamatok, jogosultság-eszkaláció, tömeges fájlműveletek, gyanús hitelesítési minták) stabilabb kapaszkodó.
  3. Identitás- és kulcsvédelem: külön figyelmet érdemelnek az LLM API-kulcsok és felhős hitelesítők — ezek elvesztése nem csak adat-hozzáférést, hanem további automatizált támadási lehetőségeket is adhat.
  4. Automatizált válaszlépések: ha a támadó másodpercekben gondolkodik, a védekezésnek is közelebb kell kerülnie ehhez. Nem „AI vs. AI” szlogenekről van szó, hanem arról, hogy bizonyos reakciókat (izolálás, kulcs-rotáció, gyanús folyamatok leállítása) nem lehet mindig kézzel időben végigzongorázni.

A JadePuffer tanulsága végső soron prózai: a modern támadásoknál nem feltétlenül a technika újdonsága a veszélyes, hanem az, hogy a végrehajtás sebessége és alkalmazkodóképessége egyre kevésbé emberi léptékű.