Yapay zeka destekli siber saldırılar uzun süredir güvenlik araştırmacılarının gündemindeydi. Ancak Sysdig Threat Research Team (TRT) tarafından yayımlanan yeni araştırma, bu senaryonun artık teorik olmaktan çıktığını gösteriyor. Araştırmacılar, JADEPUFFER adını verdikleri tehdidi, uçtan uca büyük dil modeli (LLM) tarafından yönetilen ilk belgelenmiş "agentic ransomware" operasyonu olarak değerlendiriyor.
Saldırı insan yerine AI ajanı tarafından yürütüldü
Geleneksel fidye yazılımı saldırılarında saldırganlar sisteme sızdıktan sonra keşif, kimlik bilgisi toplama, yatay hareket, veri şifreleme ve fidye notu bırakma gibi adımları manuel olarak veya önceden hazırlanmış araçlarla gerçekleştiriyor.
JADEPUFFER vakasında ise araştırmacılara göre bu süreçlerin büyük bölümü bir LLM tabanlı otonom ajan tarafından yönetildi. İnsan operatör yalnızca hedefi belirledi ve ilk altyapıyı hazırladı. Sisteme girişin ardından saldırının geri kalan aşamaları AI ajanı tarafından planlanıp yürütüldü.
Giriş noktası: Yamalanmamış Langflow zafiyeti
Saldırganlar ilk erişimi, açık kaynak AI uygulama geliştirme platformu Langflow'da bulunan CVE-2025-3248 numaralı kritik uzaktan kod çalıştırma (RCE) açığını kullanarak elde etti.
Bu zafiyet sayesinde internete açık bir Langflow sunucusunda kimlik doğrulaması gerektirmeden Python kodu çalıştırılabildi. Langflow'un çoğu zaman LLM servislerine, bulut ortamlarına ve veritabanlarına ait API anahtarlarını barındırması nedeniyle başarılı bir istismar, saldırganlara çok daha geniş bir erişim sağlayabiliyor. Açık için yama daha önce yayımlanmış olmasına rağmen hedef sistem güncellenmediği için saldırı mümkün oldu.
AI ajanı saldırıyı kendi başına yönetti
Sysdig'in analizine göre JADEPUFFER yalnızca komutları çalıştıran bir otomasyon aracı değildi. AI ajanı;
- sistemde keşif yaptı,
- LLM servislerine ait API anahtarlarını ve diğer kimlik bilgilerini aradı,
- bulduğu erişim bilgilerini yeniden kullanarak farklı sistemlere geçti,
- üretim veritabanına ulaştı,
- kritik yapılandırma verilerini şifreledi,
- veritabanındaki tabloları sildi,
- ardından fidye notunu oluşturdu.
Araştırmacılar, ajanın karşılaştığı hatalara göre stratejisini değiştirebildiğini ve başarısız olan adımları saniyeler içinde farklı yöntemlerle yeniden deneyebildiğini belirtiyor.
En dikkat çekici özellik: Kararlarını açıklayarak ilerledi
JADEPUFFER'ı diğer fidye yazılımlarından ayıran en ilginç özelliklerden biri, saldırı sırasında yaptığı işlemleri doğal dil kullanarak açıklaması oldu.
Araştırmacılara göre AI ajanı, neden belirli hedefleri seçtiğini, hangi kimlik bilgilerini kullanacağını ve sonraki adımda ne yapacağını kendi kendine yorumlayarak ilerledi. Bu davranış, klasik kötü amaçlı yazılımlarda görülmeyen bir özellik olsa da LLM tabanlı sistemlerin doğal çalışma biçimini yansıtıyor.
Sysdig, bu "kendini açıklama" davranışının gelecekte AI tabanlı saldırıları tespit etmek için davranışsal bir gösterge olarak kullanılabileceğini değerlendiriyor.
Fidye ödemek bile çözüm olmayabilirdi
Araştırmada dikkat çeken bir diğer ayrıntı ise saldırının teknik tasarımı oldu.
JADEPUFFER verileri şifrelemesine rağmen kurtarma anahtarını güvenli şekilde saklamadı ve geri yükleme mekanizması oluşturmadı. Araştırmacılar, bu nedenle mağdurun fidyeyi ödemesi durumunda bile verilerin geri getirilemeyebileceğini ifade ediyor. Bu durum, AI ajanının bazı kararlarında beklenmeyen sonuçlar üretebildiğini ve LLM tabanlı saldırıların henüz tamamen öngörülebilir olmadığını gösteriyor.
Agentic AI Security için dönüm noktası
JADEPUFFER, tamamen yeni saldırı teknikleri kullanmıyor. Bunun yerine daha önce bilinen bir güvenlik açığını, otonom karar verme yeteneğine sahip bir AI ajanıyla birleştirerek saldırı zincirini otomatik hale getiriyor.
Uzmanlara göre asıl değişim burada yaşanıyor. AI ajanları;
- keşif,
- kimlik bilgisi toplama,
- yatay hareket,
- hata durumunda strateji değiştirme,
- fidye operasyonunu yürütme
gibi süreçleri insan müdahalesi olmadan gerçekleştirebildiğinde, saldırıların gerçekleşme süresi saatlerden dakikalara, hatta saniyelere düşebiliyor.
Kurumlar ne yapmalı?
Araştırmacılar, bu tür saldırılara karşı en temel savunmanın halen klasik güvenlik hijyeni olduğunu vurguluyor. Özellikle:
- Langflow gibi AI platformlarının güncel tutulması,
- internete açık AI servislerinin sınırlandırılması,
- API anahtarlarının güvenli şekilde saklanması,
- AI ajanlarının erişim yetkilerinin en az ayrıcalık (least privilege) prensibine göre tanımlanması,
- davranışsal tehdit tespiti yapan güvenlik çözümlerinin kullanılması
öncelikli önlemler arasında gösteriliyor.
JADEPUFFER, fidye yazılımının tamamen değiştiği anlamına gelmiyor. Ancak araştırmacıların "ilk belgelenmiş agentic ransomware" olarak tanımladığı bu olay, AI ajanlarının artık yalnızca geliştiricilere yardımcı olan araçlar değil, aynı zamanda saldırı zincirini otonom şekilde yönetebilen tehdit aktörleri haline gelebileceğini gösteriyor. Önümüzdeki dönemde Agentic AI Security'nin hem saldırı hem de savunma tarafında siber güvenliğin en kritik çalışma alanlarından biri olması bekleniyor.
