Исследователи зафиксировали атаку JadePuffer, использующую критическую уязвимость CVE-2025-3248 в платформе Langflow для развертывания ИИ-агентов. Злоумышленники эксплуатировали незащищенные экземпляры сервиса, чтобы внедрить вредоносный код, получить доступ к базам данных и зашифровать их содержимое. Это первый задокументированный случай использования агентных фреймворков для автоматизированного вымогательства, что подчеркивает новые векторы атак на инфраструктуру ИИ.

Атака начинается с поиска открытых инстансов Langflow, которые не требуют аутентификации. Получив доступ к интерфейсу, злоумышленники используют встроенные возможности платформы для выполнения произвольных команд в среде исполнения агента. В ходе инцидента атакующие манипулировали конфигурациями потоков данных, чтобы перехватить учетные данные от подключенных баз данных и выполнить SQL-запросы для извлечения или удаления информации.

Основная опасность заключается в том, что агентные системы часто имеют привилегированный доступ к корпоративным данным и внешним API. В данном случае злоумышленники использовали легитимные инструменты оркестрации ИИ для автоматизации процесса поиска и шифрования данных, минимизируя следы своего присутствия. Это демонстрирует необходимость внедрения строгих политик доступа и сетевой изоляции для всех компонентов, отвечающих за работу агентных систем.

Ключевые факты

  • Уязвимость CVE-2025-3248 позволяет удаленное выполнение кода в экземплярах Langflow, настроенных без должной аутентификации.
  • Кампания JadePuffer автоматизирует процесс поиска целей, кражи учетных данных и последующего шифрования содержимого баз данных.
  • Атакующие используют штатные функции Langflow для манипуляции потоками данных, что затрудняет обнаружение вредоносной активности традиционными средствами защиты.
  • Инцидент подтверждает переход от теоретических угроз к практическому использованию ИИ-инфраструктуры в криминальных целях.