Gen. partnerAlgotech

JADEPUFFER: První ransomware řízený AI agentem? Výzkumníci popsali nový typ autonomního útoku

Bezpečnostní výzkumníci upozorňují na případ, který může představovat zásadní zlom ve vývoji kybernetických útoků. Podle společnosti Sysdig stál za útokem označeným jako JADEPUFFER autonomní AI agent, který měl samostatně řídit většinu fází ransomware kampaně – od průniku do systému přes průzkum sítě až po zašifrování databází a vydírání oběti. Pokud se podobný přístup rozšíří, může změnit způsob, jakým budou ransomware útoky v budoucnu probíhat.

Stanislav Novotný|
6. července 2026
JADEPUFFER: První ransomware řízený AI agentem? Výzkumníci popsali nový typ autonomního útoku

Kybernetická bezpečnost se dlouhodobě připravuje na dobu, kdy budou útočníci využívat umělou inteligenci nejen jako pomocníka při psaní phishingových e-mailů nebo malwaru, ale jako skutečného operátora útoku. Zdá se, že tento okamžik se možná právě přiblížil.

Výzkumníci ze společnosti Sysdig zveřejnili analýzu útoku, který označili jako první zdokumentovanou ransomware operaci vedenou AI agentem. Je však důležité zdůraznit, že jde o závěr samotných autorů výzkumu. Zatím neexistuje nezávislé potvrzení, že skutečně šlo o plně autonomní útok bez lidského zásahu.

Přesto jde o mimořádně zajímavý případ, který ukazuje, kam se mohou kybernetické hrozby v následujících letech posunout.

Útok nezačal žádným novým zero-day

Na rozdíl od některých mediálních titulků není nejzajímavější samotná technická stránka útoku.

JADEPUFFER totiž nevyužil žádnou dosud neznámou zranitelnost.

Útočníci zneužili kritickou chybu CVE-2025-3248 v open-source platformě Langflow, která slouží k vývoji aplikací využívajících velké jazykové modely (LLM). Zranitelnost byla již dříve zveřejněna i opravena. Úspěch útoku tak nebyl způsoben novým exploitem, ale tím, že napadený systém nebyl včas aktualizován.

To samo o sobě není nic neobvyklého. Skutečná novinka přišla až po získání přístupu.

AI převzala roli operátora

Podle analýzy Sysdigu začal AI agent po úspěšném průniku samostatně provádět jednotlivé kroky, které běžně vykonává lidský operátor během ransomware kampaně.

Automaticky shromažďoval informace o napadeném systému, analyzoval konfiguraci serveru, hledal databázové přihlašovací údaje, API klíče i přístupové údaje ke cloudovým službám. Zaměřoval se přitom nejen na AWS nebo Microsoft Azure, ale také na Alibaba Cloud, Tencent Cloud nebo Huawei Cloud.

Výzkumníci dále uvádějí, že agent dokázal reagovat na neúspěchy. Pokud některý postup selhal, změnil strategii a zkusil jinou variantu bez zásahu člověka. V jednom z popsaných případů měl během přibližně 31 sekund přejít od neúspěšného pokusu k úspěšnému řešení problému.

Právě schopnost adaptace představuje podle autorů největší rozdíl oproti klasickým automatizovaným skriptům.

Od průzkumu až po vydírání

Po úvodním průzkumu následoval laterální pohyb napadeným prostředím.

Agent vyhledával další dostupné služby, snažil se vytvořit perzistenci a následně se přesunul na produkční databázový server.

Finální fází útoku bylo zašifrování databází systému Nacos. Podle výzkumníků bylo zašifrováno více než 1 300 konfiguračních položek, databázové tabulky byly odstraněny a na serveru zůstala výkupní zpráva požadující zaplacení výkupného.

Chyba, kterou by zkušený útočník pravděpodobně neudělal

Analýza obsahuje ještě jeden velmi zajímavý detail.

Ransomware si během šifrování vytvořil šifrovací klíč, ten však podle všeho nikam neuložil ani jej neodeslal útočníkovi.

Pokud by tomu tak skutečně bylo, znamenalo by to, že ani po zaplacení výkupného by nebylo možné data obnovit.

Výzkumníci připouštějí, že mohlo jít o chybu samotného AI agenta, který některou část procesu jednoduše nedokončil správně.

Právě tento detail ukazuje, že současní AI agenti sice dokážou vykonávat stále složitější úkoly, ale nejsou neomylní.

Skutečně šlo o plně autonomní AI?

To je otázka, na kterou zatím neexistuje jednoznačná odpověď.

Samotný Sysdig upozorňuje, že neměl přístup k systémovým instrukcím (system promptu) použitého AI agenta ani neví, kolik kroků bylo připraveno člověkem ještě před spuštěním útoku.

Některá tvrzení agenta – například údajná exfiltrace dat – navíc nebylo možné nezávisle ověřit.

Označení „první AI řízený ransomware“ je proto vhodné vnímat jako odborné hodnocení autorů analýzy, nikoliv jako definitivně prokázaný fakt.

Co si z případu odnést?

JADEPUFFER nepřinesl nové hackerské techniky.

Nevyužil dosud neznámou zranitelnost, nepřišel s revoluční metodou šifrování ani s novým typem malwaru.

Novinkou je něco jiného.

Poprvé máme zdokumentovaný případ, kdy většinu rozhodování během útoku podle všeho převzal AI agent. Ten dokázal analyzovat situaci, přizpůsobovat své kroky, řešit problémy a pokračovat v útoku bez průběžného řízení člověkem.

Pokud se podobný přístup rozšíří, může se výrazně zkrátit čas potřebný k vedení útoku a zároveň vzroste počet kampaní, které budou útočníci schopni spouštět paralelně.

Možná tak nestojíme na prahu éry chytřejšího malwaru.

Možná stojíme na začátku éry, kdy se z útočníků stanou spíše zadavatelé úkolů a samotnou operaci bude řídit umělá inteligence.

Zdroje

  • Sysdig Threat Research – JadePuffer: Agentic ransomware for automated database extortion
  • BleepingComputer – Researchers describe JadePuffer as first AI-agent ransomware operation
  • The Hacker News – AI Agent exploits Langflow vulnerability in autonomous ransomware campaign
Načítání komentářů...

Zůstaňte v obraze

Přihlaste se k odběru našeho newsletteru a získejte nejnovější informace o kybernetické bezpečnosti přímo do vaší e-mailové schránky.

Vaše údaje jsou v bezpečí. Newsletter můžete kdykoliv odhlásit.