«Det første løsepengeangrepet vi mener er kjørt fra start til slutt av en KI-agent.» — Sysdig Threat Research Team
Slik beskriver sikkerhetsselskapet Sysdig operasjonen de kaller JADEPUFFER. Ifølge The Hacker News håndterte en språkmodell hele jobben: innbruddet, tyveriet av påloggingsdetaljer, bevegelsen dypere inn i nettverket, og til slutt krypteringen og slettingen av en bedrifts produksjonsdatabase.
Veien inn var en gammel, allerede patchet feil. Agenten utnyttet CVE-2025-3248, en manglende-autentisering-sårbarhet i Langflow, et åpent verktøy for å bygge KI-apper og agent-arbeidsflyter. Hullet lar hvem som helst som når serveren, kjøre egen Python-kode uten pålogging. Det ble fikset i Langflow 1.3.0 og lagt til CISAs liste over aktivt utnyttede sårbarheter i mai 2025, men mange servere ble aldri oppdatert.
Vel inne jobbet agenten raskt og ryddet opp etter seg. Den kartla maskinen, feide etter hemmeligheter (API-nøkler for OpenAI, Anthropic, DeepSeek og Gemini, sky-legitimasjon, kryptolommebøker og databasepålogginger), og tømte en MinIO-server som fortsatt sto med fabrikkinnloggingen minioadmin:minioadmin. Så pivoterte den til en MySQL- og Nacos-server, logget inn som root, tok over Nacos via en autentiseringsforbikjøring fra 2021 og en standard signeringsnøkkel, krypterte alle 1 342 Nacos-innstillinger og la igjen en løsepengekrav i bitcoin. Krypteringsnøkkelen ble generert tilfeldig, skrevet til skjermen én gang og aldri lagret, så offeret får ikke dataene tilbake selv om de betaler.
Beviset for at en KI styrte, lå i koden selv: angrepskoden var full av forklarende notater på klarspråk, den slags løpende kommentar en menneskelig hacker aldri gidder å skrive. I ett tilfelle gikk agenten fra en mislykket pålogging til en korrekt flerstegs-fiks på 31 sekunder, og Sysdig talte over 600 målrettede angrepslaster.
JADEPUFFER føyer seg inn i et travelt år. I august 2025 rapporterte Anthropic en ekte utpressingskampanje som brukte Claude Code mot minst 17 organisasjoner, men der styrte fortsatt et menneske.
«Det første i stor grad autonome cyberangrepet.» — Anthropic, om en kinesisk statstilknyttet operasjon i november 2025
Mønsteret er at bitene i et alvorlig angrep automatiseres, og gammel, upatchet programvare er det enkleste første målet. Agenter gjør det nesten gratis å spraye hele baklisten av kjente feil, så forsømte servere blir mer eksponert, ikke mindre. Ferdigheten som trengs for å kjøre et angrep, faller til hva det koster å leie en KI-agent.
Hva bør du gjøre?
- Patch Langflow (fikset i 1.3.0) og eksponer aldri kodekjørende endepunkter mot internett.
- Ikke kjør KI-verktøy med sky- og API-nøkler liggende i miljøet; hold hemmeligheter i en secrets-manager utenfor nettets rekkevidde.
- Herd Nacos: bytt standard signeringsnøkkel, hold den vekk fra internett, og la den aldri koble til databasen som root.
- Overvåk kjøretidsatferd, ikke bare patch-nivå, siden angripere nå kan våpengjøre en fersk sårbarhet på timer.