Tolv dager etter at Sysdig dokumenterte JADEPUFFER, det første fullt agent-drevne løsepengeangrepet, har KI-sikkerhetslaben til Ant Group sluppet et gratis, open-source vaktlag ved navn SingGuard-NSFA på GitHub og Hugging Face. Verktøyet legger seg mellom en agent og verktøyene den kaller, og vurderer hver planlagte handling før den utføres, med sikte på å fange prompt-injeksjon, legitimasjonstyveri, kjøring av skadelig kode og misbruk av rettigheter.
Angrepet det svarer på, satte skrekken i bransjen nettopp fordi ingen av stegene var nye. En KI-agent brøt seg inn i en uoppdatert Langflow-server, samlet skynøkler, hoppet videre til en produksjonsdatabase og krypterte 1 342 konfigurasjonsoppføringer før den slettet originalene, uten et menneske i løkka på noe steg. Løsepengekravet var ren teater: krypteringsnøkkelen ble aldri lagret, så selv betaling ga ingenting tilbake.
SingGuard jobber annerledes enn en ren policymotor som Microsofts Agent Governance Toolkit. Der policymotoren spør «tillater reglene denne handlingen?», spør SingGuard «ser innholdet som flyter gjennom agenten skadelig ut?». Den første stopper handlinger du på forhånd har tenkt å forby, den andre kan fange nye angrepsmønstre ingen regel er skrevet for ennå. En modell på 0,8 milliarder parametere skal ifølge Ant Group matche 8B-modeller på deteksjon, og 9B-varianten skal ligge rundt 50 millisekunders responstid. Tallene kommer fra selskapets egne målinger og er ikke uavhengig etterprøvd, og noen tredjepartsrevisjon av koden foreligger heller ikke ennå.
Hva bør du gjøre?
- Behandle SingGuard som ett lag i et dybdeforsvar, ikke en løsning alene: par gjerne en deterministisk policymotor med innholdsdeteksjon, og kjør den selvhostet så ingen data går via Ant Groups infrastruktur.
- Husk at JADEPUFFER kom inn gjennom en Langflow-server som aldri var oppdatert (CVE-2025-3248, lappet allerede i april 2025). Ingen vaktlag redder uoppdatert programvare, så patching og fjerning av standardpassord er fortsatt grunnmuren.