Ein KI-Agent brach in eine Produktionsdatenbank ein, korrigierte einen fehlgeschlagenen Anmeldeversuch und schrieb während der technischen Ausführung einen Lösegeldschein, ohne dass ein Mensch an der Tastatur saß. Das Bedrohungsforschungsteam von Sysdig dokumentierte die Operation am 1. Juli 2026 und nannte sie JADEPUFFER. Das Unternehmen bezeichnet es als den ersten dokumentierten Fall von Ransomware, die durchgängig von einem großen Sprachmodell ausgeführt wird, und die technischen Aufzeichnungen stützen einen Großteil der Behauptung, obwohl einige Particulars noch unbestätigt sind.
Was Sysdig gefunden hat
Michael Clark, Direktor für Bedrohungsforschung bei Sysdig, ist Autor des Berichts. Es umfasst zwei separate Systeme: einen mit dem Web verbundenen Langflow-Server, der zum Erstellen von KI-Anwendungen verwendet wird, und eine darüber erreichbare Produktionsdatenbankumgebung. Sysdig hat den Namen JADEPUFFER dem Betreiber hinter der Kampagne zugewiesen, nicht einer wiederverwendbaren Malware mit einer festen Binärdatei. Unabhängige Medien wie BleepingComputer, CSO On-line, The Hacker Information und TechCrunch berichteten in den Tagen nach der Veröffentlichung über die Ergebnisse und bauten dabei weitgehend auf Sysdigs Originalforschung auf.
Ein alter, geflickter Käfer öffnete die Tür
JADEPUFFER erhielt den ersten Zugriff über CVE-2025-3248, einen fehlenden Authentifizierungsfehler im Code-Validierungsendpunkt von Langflow. Der Fehler ermöglicht es einem nicht authentifizierten Angreifer, eine manipulierte Anfrage zu senden und beliebiges Python auf dem Server auszuführen. Langflow hat den Fehler in Model 1.3.0 behoben und CISA hat ihn am 5. Mai 2025 in seinen Katalog „Recognized Exploited Vulnerabilities“ aufgenommen. Viele Server haben das Replace nie erhalten.
Für Unternehmen geht die Lektion über das Patch-Administration hinaus. KI-Entwicklungstools wie Langflow befinden sich in der Regel in der Nähe einer dichten Ansammlung von Geheimnissen: API-Schlüssel von Modellanbietern, Cloud-Anmeldeinformationen, Datenbankkennwörter und Konfigurationsdateien. Ein einzelner ungepatchter Server kann eine Brücke zu einer weitaus wertvolleren Infrastruktur sein als das Instrument selbst.
Wie der Agent den Einbruch verkettete
Sobald der Agent sich im Langflow-Host befand, zählte er das Betriebssystem, die Netzwerkschnittstellen und die laufenden Prozesse auf. Es suchte nach API-Schlüsseln, die mit OpenAI, Anthropic, DeepSeek und Gemini verknüpft sind, sowie nach AWS-, Azure- und GCP-Anmeldeinformationen, Kryptowährungs-Wallets und Datenbankkonfigurationsdateien. Es hat die PostgreSQL-Datenbank von Langflow gelöscht und einen MinIO-Objektspeicherdienst entdeckt, der immer noch die werkseitig voreingestellten Anmeldenamen minioadmin und minioadmin ausführt. Von dort wurden Terraform-Statusdateien und eine .env-Datei mit weiteren Anmeldeinformationen abgerufen.
Der Agent wechselte dann zu einer separaten Produktionsumgebung, in der MySQL und Alibabas Nacos-Konfigurationsdienst ausgeführt wurden. Nacos hatte einen bekannten Authentifizierungs-Bypass-Fehler aus dem Jahr 2021 und einen Customary-Signaturschlüssel, den die Software program seit 2020 unverändert ausliefert. Der Agent fälschte mit dem Schlüssel ein Token, richtete ein Administratorkonto ein und nutzte den neuen Zugriff, um in die Datenbank selbst zu gelangen.
Warum Sysdig glaubt, dass ein LLM die Operation geleitet hat
Sysdig weist auf vier Beweislinien hin. Erstens enthielten entschlüsselte Python-Nutzlasten ungewöhnlich detaillierte Kommentare in natürlicher Sprache, in denen die Zielpriorität und der erwartete Return on Effort erläutert wurden, eine Gewohnheit, die eher mit LLM-generiertem Code als mit handgeschriebenen Angriffsskripten verbunden ist. Zweitens reagierte der Vorgang auf einen Fehler, anstatt ihn zu stoppen: Als ein Anmeldeversuch fehlschlug, überarbeitete der Agent seinen Ansatz und erstellte 31 Sekunden später einen funktionierenden Repair. Drittens lief die Kampagne über 600 verschiedene Nutzlasten über mehrere Systeme und Technologien hinweg, die durch ein kohärentes Ziel zusammengehalten wurden. Viertens deutet die Korrekturgeschwindigkeit selbst eher auf maschinell generierten Code als auf manuelle Fehlerbehebung hin.
Das 31-Sekunden-Element verdient eine sorgfältige Lektüre. Es beschreibt eine Fehlerbehebungsschleife, eine fehlgeschlagene Anmeldung, die korrigiert und erneut versucht wird, nicht den vollständigen Verstoß oder die seitliche Bewegung über ein Netzwerk. Schlagzeilen, in denen behauptet wird, Angreifer hätten sich in weniger als 30 Sekunden durch eine gesamte Umgebung bewegt, übertreiben die von Sysdig berichteten Aussagen. Die engere Behauptung ist immer noch von Bedeutung: Sicherheitsteams können einen fehlgeschlagenen Einbruchsversuch nicht mehr als das Ende eines Vorfalls betrachten. Eine blockierte Aktion kann innerhalb von Sekunden eine überarbeitete Aktion auslösen.
Ein Mensch stellt immer noch die Falle
Sysdigs Bericht und spätere Berichte von TechCrunch ziehen eine Grenze, die die Berichterstattung manchmal verwischt. Eine Individual musste immer noch den Agenten konfigurieren, ihn starten, die Command-and-Management- und Datenbereitstellungsserver bereitstellen und ein Ziel auswählen. Laut TechCrunch hat der Agent die Anmeldeinformationen, die zum Erreichen des Downstream-MySQL-Servers in der beobachteten Umgebung verwendet wurden, nicht erfasst; Jemand hat sie bereitgestellt, wahrscheinlich aus einem früheren, separaten Kompromiss. Der Code enthielt eine vom Agenten selbst verfasste Behauptung, dass gestohlene Daten bereits einen Staging-Server erreicht hätten. Sysdig konnte es nicht bestätigen.
Der Aufruf des Agenten zur Angriffsausführung bleibt bestehen. Die Behauptung, der gesamte Betrieb sei frei von menschlicher Beteiligung, ist nicht geeignet. Die Unterscheidung ist wichtig für die Risikobewertung durch Unternehmen: Die aus der Gleichung entfernte Arbeitskraft ist taktischer und technischer Natur, nicht strategischer Natur.
Der größere Wandel ist wirtschaftlicher und nicht technischer Natur
Keine der einzelnen Techniken in JADEPUFFER gilt als neu. Standardanmeldeinformationen, eine alte Authentifizierungsumgehung, ein gepatchter Fehler bei der Remotecodeausführung und ein fest codierter Signaturschlüssel sind seit Jahren in der Sicherheitsforschung im Umlauf. Der Sysdig-Fall lässt darauf schließen, dass um sie herum etwas anderes passiert: Ein LLM-Agent hat die Aufklärungs-, Anmeldedatenerfassungs-, Fehlerbehebungs-, Priorisierungs- und Querbewegungsarbeit übernommen, die ein erfahrener menschlicher Bediener früher von Hand ausführen musste.
Meiner Meinung nach handelt es sich bei der Veränderung, die es wert ist, beobachtet zu werden, nicht um die Ausgereiftheit der Malware. Dabei handelt es sich um die Arbeitskosten für die Durchführung eines Einbruchs. Ein Bediener kann plausibel mehrere Agentenkampagnen gleichzeitig überwachen, wobei jede eine andere Befehlssequenz für ein anderes Ziel generiert, wodurch statische Erkennungssignaturen, die auf bekannten Nutzlasten basieren, geschwächt werden. Der lange Schwanz ungepatchter und falsch konfigurierter Infrastruktur, der früher für Angreifer eine niedrige Priorität hatte, weil die manuelle Ausnutzung mehr kostete als er einbrachte, wird zu einem attraktiveren Ziel, sobald ein Agent ihn zu geringen Grenzkosten durcharbeiten kann.
Was Sicherheitsteams jetzt ändern sollten
Der Angriffspfad weist eher auf bestimmte Prioritäten als auf einen allgemeinen Aufruf zur Wachsamkeit hin.
Entfernen Sie KI-Entwicklungstools aus dem offenen Web. Langflow-Instanzen, Notebooks, Agent Builder und Modell-Gateways sollten sich hinter privaten Netzwerken, identitätsbewussten Proxys oder einer Webanwendungs-Firewall befinden, nicht einer öffentlichen IP-Adresse.
Beheben Sie zunächst bekannte ausgenutzte Schwachstellen. Der KEV-Katalog von CISA ist ein besseres Priorisierungssignal als CVSS-Schweregradwerte allein. Bestätigen Sie, dass Langflow-Bereitstellungen Model 1.3.0 oder höher ausführen, und prüfen Sie, ob seitdem Schwachstellen bekannt geworden sind.
Rotieren Sie Geheimnisse, die in der Nähe von KI-Workloads gespeichert sind. Angenommen, ein mit dem Web verbundener KI-Server hat seine API-Schlüssel, Cloud-Anmeldeinformationen und Konfigurationsdateien offengelegt. Verschieben Sie Geheimnisse in einen verwalteten Tresor, geben Sie kurzlebige Anmeldeinformationen aus und rotieren Sie alles, was von einem anfälligen Host berührt wird.
Entfernen Sie Standardanmeldeinformationen und Signaturschlüssel. Der Customary-Login von MinIO und der dokumentierte Signaturschlüssel von Nacos tauchten in dem Fall auf, da sie nach der Bereitstellung niemand geändert hatte. Überprüfen Sie das gleiche Muster an anderer Stelle.
Segmentieren Sie KI-Werkzeuge aus Produktionssystemen. Eine kompromittierte Experimentierplattform sollte keinen Weg zu einer Produktionsdatenbank oder Cloud-Steuerungsebene öffnen. Separate Konten, Netzwerksegmentierung und Datenbankrollen mit den geringsten Rechten begrenzen den Explosionsradius.
Erkennen Sie Verhalten, anstatt sich nur auf bekannte Malware-Signaturen zu verlassen. Agentische Angriffe erzeugen für jedes Ziel unterschiedliche Nutzlasten, sodass statische Signaturen diese übersehen. Achten Sie auf Ausbrüche bei der Aufzählung von Anmeldeinformationen, ungewöhnliche interne Scans von KI-Anwendungshosts und Datenbankaktivitäten, die zu einer Massenverschlüsselung oder einer gelöschten Tabelle führen.
Testen Sie die Wiederherstellung, bevor ein Angreifer dies für Sie erledigt. Sysdig sagte, der im JADEPUFFER-Fall verwendete Verschlüsselungsschlüssel sei kurzlebig und nicht wiederherstellbar, was bedeutete, dass die Zahlung nichts wiederhergestellt hätte. Backups erfordern Isolation, Unveränderlichkeit und einen Wiederherstellungstest nach einem Zeitplan, keine Wette auf Lösegeld für den Kauf eines funktionierenden Entschlüsselers.
Bereiten Sie sich auf automatisiertes Tradecraft vor, nicht auf Science-Fiction-Malware
JADEPUFFER scheiterte aufgrund einer geheimen Offensivfähigkeit. Dies gelang, weil ein exponierter KI-Server, eine gepatchte, aber vernachlässigte Schwachstelle und eine Reihe von Standardanmeldeinformationen in Reichweite eines Agenten lagen, der darauf ausgelegt conflict, sie zu bemerken und zu nutzen. Um darauf zu reagieren, benötigen Unternehmen keine neue Kategorie KI-spezifischer Verteidigung. Schnelleres Patchen, strengere Identitätsgrenzen und Backups unabhängig von einer Lösegeldzahlung klären den Angriffspfad, den Sysdig dokumentiert hat, und sie werden wieder von Bedeutung sein, wenn das nächste Mal ein Agent und nicht eine Individual feststellt, dass die Tür offen gelassen wurde.
