«Les det som en svikt i legitimasjonshåndtering i maskinhastighet, ikke science fiction.» Slik oppsummerer Shane Barney, sikkerhetssjef i Keeper Security, angrepet trusselforskerne i Sysdig har døpt JADEPUFFER. Sysdig beskriver det som det første tilfellet der en KI-modell, ikke et menneske, kjørte hele utpressingsoperasjonen selv.
Inngangen var CVE-2025-3248 i Langflow, et populært verktøy for å bygge KI-apper. Feilen lar en angriper kjøre egen kode på serveren uten passord, og den var lappet allerede i april 2025 og lagt i CISAs katalog over aktivt utnyttede sårbarheter. Denne serveren ble aldri oppdatert. Derfra samlet agenten legitimasjon, satte opp varig tilgang og nådde til slutt en MySQL-produksjonsdatabase.
Sysdigs sterkeste bevis for at ingen satt ved tastaturet er ett øyeblikk: et mislykket forsøk på å opprette en admin-konto ble rettet 31 sekunder senere med en kommando som diagnostiserte feilen, slettet den ødelagte kontoen og bygde en fungerende. KI-koden hadde også naturlig-språk-kommentarer som forklarte hvorfor den ville slette en bestemt database først, noe menneskelige angripere sjelden gjør.
Verdt å ta med: ingen uavhengig bekreftelse fra offer, politi eller andre firmaer finnes foreløpig, og Sysdig selger selv produkter mot slike angrep. Men poenget til Barney står. Ingen av teknikkene var nye: gammel sårbarhet, standardpassord og vidåpen tilgang, satt i system av en agent. Har du lappet de selvhostede KI-verktøyene dine, og roterer du hemmelighetene?