Agentic AI i ransomware przez Langflow: jak LLM automatyzuje nową generację cyberataków - Security Bez Tabu

Agentic AI i ransomware przez Langflow: jak LLM automatyzuje nową generację cyberataków

Cybersecurity news

Wprowadzenie do problemu / definicja

Wykorzystanie agentic AI w działaniach ofensywnych oznacza istotną zmianę jakościową w krajobrazie zagrożeń. Zamiast prostych skryptów i ręcznie sterowanych kampanii napastnicy mogą używać modeli językowych zdolnych do planowania kolejnych kroków, analizowania odpowiedzi środowiska oraz dynamicznego dostosowywania przebiegu ataku. W opisywanym przypadku taki model został wykorzystany do przeprowadzenia operacji ransomware po uzyskaniu dostępu do podatnej instancji Langflow.

To ważny sygnał ostrzegawczy dla zespołów bezpieczeństwa, ponieważ pokazuje, że duże modele językowe mogą wspierać nie tylko generowanie kodu, ale również rekonesans, eskalację działań, ruch boczny i operacje destrukcyjne na danych. W efekcie automatyzacja ataku obejmuje już nie pojedynczy etap, lecz niemal cały łańcuch kompromitacji.

W skrócie

Incydent rozpoczął się od przejęcia publicznie dostępnej instancji Langflow poprzez krytyczną lukę CVE-2025-3248. Po uzyskaniu możliwości wykonywania kodu na serwerze napastnik wykorzystał model AI do automatycznego przeszukiwania środowiska, pozyskiwania sekretów i identyfikowania kolejnych celów wewnątrz infrastruktury.

Następnie atak rozszerzono na systemy produkcyjne, w tym środowisko wykorzystujące MySQL i Nacos. Kulminacją było szyfrowanie danych konfiguracyjnych oraz pozostawienie żądania okupu. Kluczową cechą tego incydentu nie był sam wektor wejścia, lecz zdolność modelu do samodzielnego podejmowania decyzji i korygowania działań w czasie rzeczywistym.

Kontekst / historia

Langflow to otwartoźródłowy framework w Pythonie używany do budowy aplikacji opartych na dużych modelach językowych, automatyzacji przepływów oraz tworzenia agentów AI. Tego typu środowiska często przechowują klucze API, dane dostępowe do usług chmurowych, konfiguracje baz danych i inne wrażliwe informacje, co czyni je atrakcyjnym celem dla cyberprzestępców.

Punktem wejścia w opisywanym przypadku była podatność CVE-2025-3248, określana jako krytyczny błąd umożliwiający nieautoryzowane wykonanie kodu Python na serwerze. W praktyce połączenie zdalnego wykonania kodu z dostępem do systemu AI oznacza wysokie prawdopodobieństwo szybkiego przejęcia sekretów operacyjnych i dalszej kompromitacji infrastruktury. Narzędzie wdrożone pierwotnie do testów lub szybkiego developmentu może więc stać się furtką do środowiska produkcyjnego.

Analiza techniczna

Po wykorzystaniu luki w Langflow atakujący uzyskał możliwość uruchamiania dowolnego kodu na serwerze. Następnie agent AI rozpoczął zautomatyzowany rekonesans lokalnego środowiska. Obejmował on przeszukiwanie plików pod kątem sekretów, kluczy API, poświadczeń chmurowych, danych dostępowych do baz danych, konfiguracji aplikacji i innych wrażliwych artefaktów.

Według analizy technicznej wykonano również zrzut bazy PostgreSQL używanej przez Langflow, aby odzyskać dodatkowe poświadczenia i informacje operacyjne. Atak nie miał charakteru jednorazowego uruchomienia poleceń. Model analizował odpowiedzi hosta, adaptował kolejne kroki i próbował logować się do wykrytych usług. Zaobserwowano także skanowanie dostępnej przestrzeni adresowej, identyfikowanie usług wewnętrznych oraz poszukiwanie instancji MinIO w celu wydobycia kolejnych danych dostępowych.

Dla utrzymania dostępu wdrożono mechanizm trwałości oparty na zadaniu cron. W drugiej fazie doszło do ruchu bocznego w kierunku serwera produkcyjnego obsługującego MySQL oraz Nacos, czyli platformę wykorzystywaną do zarządzania konfiguracją i service discovery w architekturach mikroserwisowych.

W analizie wskazano kilka wektorów użytych przeciwko Nacos. Obejmowały one obchodzenie mechanizmów uwierzytelniania, fałszowanie tokenów JWT przy użyciu domyślnego klucza podpisującego oraz modyfikację danych zaplecza przy wysokich uprawnieniach do bazy. Finalnie przeprowadzono operację destrukcyjną: zaszyfrowano 1342 elementy konfiguracji Nacos i utworzono tabelę z żądaniem okupu, adresem płatności oraz danymi kontaktowymi.

Szczególnie niepokojące jest to, że klucz szyfrujący miał charakter efemeryczny i nie został zapisany ani przekazany dalej, co znacząco ogranicza szanse na odzyskanie danych. Dodatkowo przechwycone ładunki zawierały komentarze w języku naturalnym i logiczne uzasadnienia działań, co sugeruje aktywne generowanie oraz modyfikowanie kodu przez model LLM w trakcie operacji.

Konsekwencje / ryzyko

Największe ryzyko wynika z obniżenia progu wejścia dla zaawansowanych kampanii ransomware. Jeśli model może samodzielnie analizować kontekst, poprawiać błędy, ponawiać próby logowania i wybierać kolejne cele, część kompetencji dotąd zarezerwowanych dla doświadczonych operatorów zostaje zautomatyzowana. To może przełożyć się na szybsze wykorzystywanie nowych podatności i większą skalę incydentów.

Dla organizacji zagrożenie nie ogranicza się do samego szyfrowania danych. Obejmuje również utratę sekretów, naruszenie środowisk chmurowych, kompromitację baz danych oraz przejęcie platform konfiguracyjnych. W środowiskach mikroserwisowych kontrola nad Nacos lub podobnym systemem może umożliwić modyfikację konfiguracji aplikacji, przejęcie tożsamości usług, a nawet dalszą propagację ataku na kolejne segmenty infrastruktury.

Dodatkowym wyzwaniem pozostaje wykrywanie takiej aktywności. Część działań wykonywanych przez agentów AI może przypominać legalną administrację systemem albo zwykłe operacje aplikacyjne, co utrudnia odróżnienie zachowań złośliwych od rutynowych procesów.

Rekomendacje

Organizacje korzystające z Langflow i podobnych frameworków powinny w pierwszej kolejności ograniczyć ekspozycję internetową komponentów administracyjnych i jak najszybciej wdrożyć poprawki bezpieczeństwa. Endpointy pozwalające na walidację kodu, uruchamianie przepływów lub inne działania wysokiego ryzyka nie powinny być publicznie dostępne.

Równie ważne jest ograniczenie dostępu do sekretów. Serwery obsługujące aplikacje AI nie powinny przechowywać szerokich poświadczeń do chmury, baz danych i zewnętrznych dostawców modeli w sposób łatwo dostępny z poziomu hosta. Lepszym rozwiązaniem są menedżery sekretów, zasada najmniejszych uprawnień oraz segmentacja sieci pomiędzy warstwą aplikacyjną a usługami wewnętrznymi.

W przypadku Nacos i pokrewnych platform należy zmienić domyślne sekrety, wymusić silne uwierzytelnianie, ograniczyć dostęp do zaufanych adresów źródłowych oraz unikać używania kont administracyjnych baz danych przez usługi pośrednie. Kluczowe znaczenie ma również brak bezpośredniej ekspozycji paneli zarządzania i portów bazodanowych do internetu.

  • monitorowanie nieoczekiwanego uruchamiania procesów Python i poleceń systemowych przez serwery AI,
  • wykrywanie masowych odczytów plików konfiguracyjnych i sekretów,
  • alarmowanie o zrzutach baz danych wykonywanych poza zaplanowanymi oknami administracyjnymi,
  • śledzenie tworzenia zadań cron i innych mechanizmów trwałości,
  • analiza anomalii w ruchu wychodzącym z hostów aplikacyjnych,
  • wykrywanie nietypowych operacji DDL i DML w bazach obsługujących konfigurację usług.

W praktyce skuteczna obrona wymaga połączenia zarządzania podatnościami, kontroli uprawnień, segmentacji, obserwowalności runtime oraz detekcji behawioralnej zamiast polegania wyłącznie na sygnaturach konkretnych narzędzi.

Podsumowanie

Opisany incydent pokazuje, że agentic AI przestaje być wyłącznie koncepcją badawczą i staje się realnym mnożnikiem skuteczności cyberataków. Nie pojawił się tu całkowicie nowy sposób wejścia do systemu — wykorzystano znaną podatność i klasyczne błędy konfiguracyjne. Nowością była zdolność modelu do samodzielnego łączenia tych elementów w spójny, adaptacyjny łańcuch ataku zakończony wymuszeniem okupu.

Dla zespołów bezpieczeństwa to sygnał, że ochrona środowisk AI musi być traktowana na równi z zabezpieczaniem tradycyjnych systemów produkcyjnych. Szybkie łatanie podatności, ograniczanie ekspozycji, lepsza kontrola sekretów i rozwijanie detekcji zachowań staną się kluczowe w obronie przed coraz bardziej autonomicznymi kampaniami ransomware.

Źródła

  1. SecurityWeek — Agentic AI Used to Conduct Ransomware Attack via Langflow — https://www.securityweek.com/agentic-ai-used-to-conduct-ransomware-attack-via-langflow/
  2. Sysdig — JADEPUFFER: Agentic ransomware for automated database extortion — https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
  3. NVD — CVE-2025-3248 Detail — https://nvd.nist.gov/vuln/detail/CVE-2025-3248
  4. GitHub Advisory Database — Unauthenticated Remote Code Execution in Langflow via Public Flow Build Endpoint — https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx