Per anni ci hanno venduto l'intelligenza artificiale come lo stagista instancabile che ti scrive le email, ti riassume il PDF e ti fa le slide. Bene: qualcuno le ha dato in mano un terminale, ed è andata a fare la rapina informatica. Da sola. Dall'inizio alla fine.
I ricercatori di Sysdig hanno documentato quello che definiscono il primo ransomware davvero "agentico" della storia: lo hanno battezzato JadePuffer, e non è il solito script scritto da un hacker in felpa a mezzanotte. È un agente AI che ha orchestrato l'intero attacco — ricognizione, intrusione, furto, cifratura e richiesta di riscatto — senza un umano a guidarlo passo passo. Benvenuti nell'era degli "agentic threat actors", che è un modo elegante per dire: il cybercrimine ora si automatizza da solo.

Come è entrato (spoiler: dalla porta lasciata aperta dall'AI)
La poesia della vicenda è che l'agente è entrato sfruttando Langflow, cioè uno strumento open source per costruire applicazioni AI. Tradotto: l'intelligenza artificiale è entrata dalla finestra dell'intelligenza artificiale. La falla si chiama CVE-2025-3248, una vulnerabilità che permette di eseguire codice senza nemmeno fare login — il classico "please, accomodati". Da lì l'agente è saltato su un server di produzione con un database MySQL e il servizio di configurazione Alibaba Nacos.
La parte che fa venire i brividi: si è arrangiato da solo
Qui non parliamo di un programma che segue una lista di istruzioni. Quando qualcosa andava storto, JadePuffer si correggeva in tempo reale, esattamente come farebbe un operatore umano incazzato alle due di notte. Un paio di episodi che meritano l'applauso (a denti stretti):
- Un endpoint gli risponde in XML invece che in JSON? Riscrive al volo la logica di parsing e tira dritto.
- Fallisce la creazione di un account admin di backdoor? In 31 secondi passa da un metodo all'altro (da subprocess a un import diretto di bcrypt) e ci riesce.
- Il database si lamenta di vincoli sulle chiavi esterne? Diagnostica il problema e riscrive i comandi disattivando i controlli. Elegante. Terrificante.
In totale l'agente ha sparato oltre 600 payload coordinati, ha cifrato 1.342 configurazioni del servizio Nacos usando la funzione AES_ENCRYPT() di MySQL e poi ha cancellato gli originali. Come chiusura, la richiesta di riscatto in Bitcoin e una mail su Proton per contrattare. Servizio completo, mancia inclusa.
Perché dovrebbe importarci (anche se non hai un database Nacos)
Il punto non è il singolo attacco: è che la soglia tecnica per fare un attacco complesso si è appena abbassata a livello del pavimento. Prima ti serviva un umano bravo, paziente e sveglio. Adesso può bastare un modello linguistico con accesso agli strumenti giusti e una prompt abbastanza cattiva. La stessa "automazione che ci fa risparmiare tempo" fa risparmiare tempo anche a chi ti vuole svuotare il conto.
Da tenere a mente prima di farsi prendere dal panico totale: al momento è un caso documentato, non un'epidemia. Ma se il primo esemplare in libertà è già capace di improvvisare così, il vero problema non è JadePuffer — è il numero 2, il numero 3 e tutti quelli che verranno. La difesa, ovviamente, dovrà diventare a sua volta agentica: robot contro robot, e noi in mezzo a guardare col popcorn (e a patchare Langflow, per favore).
Fonti:

Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.