Säkerhetsforskare uppger att JadePuffer-ransomware utgör det första dokumenterade fallet där en autonom AI-agent genomförde en komplett ransomwareattack utan direkt mänsklig inblandning. Enligt molnsäkerhetsföretaget Sysdig hanterade den AI-drivna operationen samtliga huvudsteg i intrånget – från den initiala åtkomsten till datakrypteringen.
AI-agent genomförde hela attacken
Sysdig uppger att angriparna använde en AI-agent baserad på en stor språkmodell (LLM) för att automatisera ransomwarekampanjen.
AI-agenten genomförde kartläggning, stal inloggningsuppgifter, rörde sig lateralt genom nätverket, etablerade beständig åtkomst, eskalerade behörigheter och distribuerade ransomware.
Forskarna observerade också att agenten anpassade sig till oväntade hinder i stället för att bara upprepa misslyckade kommandon.
I ett exempel korrigerade AI:n ett misslyckat inloggningsförsök och genomförde en ny attack framgångsrikt inom bara 31 sekunder.
JadePuffer utnyttjade sårbarhet i Langflow
Attacken började med att utnyttja CVE-2025-3248, en sårbarhet för fjärrkörning av kod utan autentisering i Langflow, ett ramverk med öppen källkod för att utveckla LLM-applikationer.
Langflow släppte en säkerhetsuppdatering för sårbarheten den 1 april 2025.
En månad senare bekräftade den amerikanska cybersäkerhetsmyndigheten CISA att angripare aktivt utnyttjade sårbarheten mot internetexponerade system.
Efter att AI-agenten tagit sig in på servern dumpade den Langflows PostgreSQL-databas och samlade in information om den komprometterade värden.
Den sökte också efter miljövariabler, känsliga filer, sparade inloggningsuppgifter och MinIO-objektlagring.
AI:n anpassade attacken under intrånget
Sysdig identifierade flera exempel där AI-agenten ändrade sitt beteende när attacker misslyckades.
Vid ett tillfälle försökte agenten kartlägga en MinIO-lagringstjänst. När servern svarade med XML i stället för det förväntade JSON-formatet ändrade AI:n automatiskt sin parserlogik och fortsatte attacken utan mänsklig hjälp.
Forskarna menar att denna typ av anpassning i realtid påminner starkt om hur en erfaren angripare arbetar.
Angriparna etablerade beständig åtkomst och rörde sig lateralt
AI-agenten skapade ett cron-jobb på den komprometterade Langflow-servern för att säkerställa långvarig åtkomst.
Den schemalagda uppgiften kontaktade angriparnas infrastruktur var 30:e minut.
Därefter tog sig angriparna vidare till en produktionsserver med MySQL som körde Alibaba Nacos, en tjänst för namn- och konfigurationshantering.
Sysdig kunde inte fastställa hur angriparna kom över root-behörigheterna som användes för att få åtkomst till servern.
AI-agenten försökte även genomföra flera attacker mot Nacos, däribland en som utnyttjade CVE-2021-29441, en sårbarhet som gör det möjligt att skapa obehöriga administratörskonton.
JadePuffer krypterade över 1 300 konfigurationsobjekt
Efter att ha komprometterat produktionsservern distribuerade AI-agenten ransomware.
Enligt Sysdig krypterade JadePuffer 1 342 konfigurationsobjekt i Nacos med hjälp av MySQL:s inbyggda funktion AES_ENCRYPT().
Skadlig kod raderade därefter de ursprungliga konfigurations- och historiktabellerna innan den skapade en ny tabell med namnet README_RANSOM, som innehöll lösensummekravet, en Bitcoin-adress och en Proton Mail-kontakt.
Även om lösensummemeddelandet påstod att krypteringen använde AES-256 anser forskarna att skadlig kod sannolikt använde den svagare algoritmen AES-128-ECB.
Sysdig noterade också att krypteringsnyckeln verkade genereras slumpmässigt men aldrig lagrades eller skickades till angriparna.
Fler tecken på AI-styrd attack
Forskarna hittade ytterligare bevis som tyder på att en AI-agent styrde operationen.
Den genererade koden innehöll detaljerade kommentarer på naturligt språk som förklarade varför olika åtgärder utfördes. Attacken utvecklades också snabbt, eftersom AI:n anpassade sina metoder utifrån systemen den mötte i stället för att blint upprepa misslyckade försök.
Forskarna upptäckte även att lösensummemeddelandet innehöll en välkänd exempeladress för Bitcoin som ofta förekommer i offentlig dokumentation. De bedömer att språkmodellen sannolikt återgav adressen från sitt träningsmaterial i stället för att skapa en riktig betalningsadress.
AI-driven ransomware markerar en ny milstolpe
Enligt Sysdig visar JadePuffer-fallet att helt autonoma agentbaserade hotaktörer nu har blivit verklighet.
Forskarna varnar för att AI-agenter kan sänka den tekniska tröskeln avsevärt för att genomföra avancerade ransomwareattacker.
Samtidigt anser de att AI-genererad skadlig kod kan lämna igenkännbara mönster som säkerhetslösningar kan använda för att upptäcka framtida attacker mer effektivt.


0 svar till ”JadePuffer-ransomware använde AI-agent för att automatisera hela cyberattacken, enligt forskare”