JADEPUFFER: De eerste ransomware die volledig op AI draait
Gijzelsoftware (ransomware) had tot nu toe altijd een mens achter het toetsenbord nodig, of op z'n minst een mens die vooraf de scripts schreef. Maar die tijd is voorbij. Het Sysdig Threat Research Team (TRT) heeft de allereerste gedocumenteerde aanval van agentic ransomware vastgelegd: een volledige afpersingsoperatie die van begin tot eind werd aangestuurd door een groot taalmodel (LLM).
Deze digitale aanvaller, door de onderzoekers JADEPUFFER gedoopt, opereert volledig zelfstandig. Het is het eerste concrete voorbeeld van een Agentic Threat Actor (ATA) — een dreigingsactor waarbij de cyberaanval niet door een menselijke hacker met een toolkit wordt uitgevoerd, maar door een autonome AI-agent.
De aanval: Flexibel, razendsnel en zelfreflecterend
JADEPUFFER kreeg toegang tot het netwerk via een kwetsbaarheid (CVE-2025-3248) in een publiek toegankelijke installatie van Langflow, een populaire tool om AI-applicaties mee te bouwen. Eenmaal binnen ontplooide de AI-agent een adaptieve, volledig geautomatiseerde campagne. Het uiteindelijke doel? De productiedatabase van het slachtoffer gijzelen voor losgeld.
Wat de onderzoekers van Sysdig het meest verbaasde, was het gedrag van het taalmodel tijdens de aanval. De schadelijke software die JADEPUFFER inzette, was voorzien van 'zelfreflectie'. De code bevatte logische redeneringen in natuurlijke taal, prioriteringslijstjes voor doelwitten en gedetailleerde aantekeningen. Dit zijn zaken die een menselijke hacker onder tijdsdruk nooit opschrijft, maar die een LLM reflexmatig genereert tijdens het programmeren.
Bovendien bleek de AI-agent in staat om in realtime te leren van fouten. Faalde een bepaalde inlogpoging of actie? Dan paste JADEPUFFER de parameters direct aan om het opnieuw te proberen. In één specifiek geval wist de AI binnen slechts 31 seconden een mislukte login om te buigen naar een werkende oplossing.
"JADEPUFFER bezit geen menselijke malwarekit; het is een AI-agent die zelfstandig redeneert, code schrijft en zijn aanvalstechniek aanpast wanneer hij weerstand ontmoet."
De kwetsbaarheid: AI-tools als de nieuwe achterdeur
Het startpunt van de aanval, Langflow, blijkt een gewild doelwit voor dit soort geavanceerde aanvallen. De specifieke kwetsbaarheid (CVE-2025-3248) betreft een ontbrekende authenticatiecontrole bij het valideren van code. Hierdoor kunnen kwaadwillenden — of in dit geval, een kwaadwillende AI — zonder inloggegevens eigen Python-code uitvoeren op de server.
Langflow-servers zijn om drie redenen een goudmijn voor aanvallers:
Slechte beveiliging: Ze worden vaak snel en zonder strikte netwerkbeveiliging online gezet voor experimenten.
Waardevolle data: Ze bevatten logischerwijs vaak API-keys van AI-providers en cloud-inloggegevens in hun systemen.
Brede toegang: Ze vormen de ideale springplank om dieper in te breken op de rest van het bedrijfsnetwerk.
Met deze ontdekking is de discussie over de gevaren van AI in cybersecurity verschoven van theorie naar harde realiteit. De geautomatiseerde hacker is niet langer sciencefiction, maar een operationeel risico waar security-teams zich vanaf vandaag tegen moeten wapenen.