В интервью изданию CyberScoop в понедельник старший директор по исследованиям угроз компании Sysdig Майкл Кларк пояснил, что человек все же был активно вовлечен — просто не в техническую реализацию. «Человек по-прежнему настраивал и направлял операцию, разворачивал стоящую за ней инфраструктуру, сервер управления и контроля, промежуточный сервер для хранения украденных данных и выбирал жертву», — заявил Кларк. Он добавил, что учетные данные, использованные для взлома базы данных жертвы, не были добыты самим ИИ-агентом; кто-то получил их отдельно, в ходе предыдущей компрометации, и передал в распоряжение операции. Это не противоречит первоначальному заявлению Sysdig, а технические детали атаки сами по себе остаются примечательными и даже дикими. Агент проник в систему через известную ошибку в Langflow, популярном инструменте с открытым исходным кодом для создания приложений на базе больших языковых моделей, затем перешел на рабочий сервер MySQL и использовал другую известную уязвимость для получения прав администратора.
В ходе атаки агент зашифровал более 1300 записей конфигурации и оставил не только самостоятельно написанную записку с требованием выкупа, но и биткоин-адрес для его отправки. Sysdig не раскрывает личность пострадавшей стороны. По всей видимости, применявшиеся техники были довольно заурядными, однако по-настоящему выделялись скорость и прозрачность операции: агент исправил неудачную попытку входа в систему за 31 секунду, попутно описывая собственные рассуждения в комментариях к коду на естественном языке. Одна деталь, изначально смазывавшая общую картину, впоследствии была прояснена. Ранее Кларк сообщил CyberScoop, что, по данным Sysdig, «в атаке использовались несколько моделей», сославшись на обнаруженные ключи к OpenAI, Anthropic, DeepSeek и Gemini — такая формулировка оставляла открытым вопрос, действительно ли несколько моделей управляли разными стадиями вторжения.
В ответ на просьбу внести ясность Кларк в электронном письме TechCrunch пояснил: эти ключи были просто частью добычи агента, а не свидетельством того, что им управляло. «Агент прочесал хост Langflow на предмет всего ценного — API-ключей провайдеров, облачных учетных данных, криптовалютных кошельков и конфигураций баз данных, — и эти ключи провайдеров были частью добычи. Они показывают, что именно злоумышленник считал ценным для кражи, но ничего не говорят о том, какая модель принимала решения», — написал он. Относительно того, какая модель в действительности управляла операцией, названной JadePuffer, Кларк сообщил, что Sysdig «не удалось идентифицировать конкретную модель, управлявшую агентом», и у компании нет информации о её системном промпте или конфигурации.
В этом свете стоит вновь обратиться к теории исследователя Microsoft Джеффа Макдональда, выдвинутой несколько дней назад в LinkedIn. Основываясь на собственном опыте Red Teaming, показывающем, что защитные слои передовых моделей работают хорошо, Макдональд предположил, что за атакой стояла не фронтирная модель, а модель с открытыми весами, с которой были сняты ограничения безопасности. Отчет Sysdig не подтверждает, но и не опровергает эту версию. В публикации Макдональда также содержалось предупреждение о том, что кампании вымогателей теперь ограничены в основном бюджетом атакующего, а не человеческими усилиями, что делает возможными «тысячи или десятки тысяч одновременных кампаний». Это опасение несколько труднее увязать с тем, что описал Кларк в понедельник (если человеку по-прежнему нужно выбирать каждую жертву, разворачивать инфраструктуру и добывать учетные данные для каждой операции, это, по крайней мере, создает определенное узкое место). Так или иначе, как заявил Кларк в интервью CyberScoop, пока Sysdig не наблюдала нападений той же операции на другие цели, но, учитывая дешевизну запуска агента, он ожидает, что ситуация изменится.