110 aktiivista uhkaa
Huijausvahti

Tekoälyagentti toteutti kiristyshyökkäyksen ilman ihmistä – ja mokasi lunnasvaatimuksen

Tekoälyagentti toteutti kiristyshyökkäyksen ilman ihmistä – ja mokasi lunnasvaatimuksen

Tietoturvayhtiö Sysdig dokumentoi kiristyshyökkäyksen, jossa kielimalli hoiti tiedustelun, murron ja salauksen kokonaan itse. Lunnaiden maksaminen ei olisi auttanut uhria, sillä agentti hukkasi oman salausavaimensa ja kopioi bitcoin-osoitteensa oppikirjasta.

Tiivistelma

Sysdig kuvaa JadePuffer-tapauksen ensimmäisenä dokumentoituna agenttisena kiristysohjelmana. Kielimalli murtautui sisään yli vuoden vanhan Langflow-haavoittuvuuden kautta, eteni itsenäisesti ja salasi 1 342 tietuetta, mutta lunnasvaatimus oli täyttämiskelvoton. Traficom nimeää tekoälyavusteiset hyökkäykset vuoden 2026 keskeiseksi uhaksi.

Kirjautuminen epäonnistui. Hyökkääjä luki virheilmoituksen, päätteli vian ja teki toimivan korjauksen 31 sekunnissa. Näppäimistön ääressä ei istunut ketään, sillä murtoa ei tehnyt ihminen vaan tekoälyagentti.

Tietoturvayhtiö Sysdig kertoo heinäkuun alussa julkaistussa tutkimuksessaan JadePuffer-nimisestä kiristysohjelmasta, joka hoiti tiedustelun, murtautumisen, verkossa liikkumisen ja salauksen itse. Käytettyä kielimallia yhtiö ei nimeä.

– Kyseessä on ensimmäinen dokumentoitu tapaus, jossa kiristysohjelma toimi agenttisesti ilman ihmisohjausta, Sysdigin tutkijat kirjoittavat.

Väite on Sysdigin oma, mutta vertailukohdat tukevat sitä. ESETin elokuussa 2025 kuvaama PromptLock oli vain tutkijoiden koe, ja Anthropicin samana vuonna raportoimissa tekoälyavusteisissa kiristyksissä ihminen ohjasi työkalua koko ajan.

Agenttinen tekoäly (agentic AI)

Tekoälyagentti ei vain vastaa kysymyksiin vaan suorittaa monivaiheisia tehtäviä itsenäisesti. Se suunnittelee vaiheet, käyttää työkaluja ja korjaa omat virheensä ilman ihmisen väliintuloa. Hyökkäyskäytössä murto etenee siksi alusta loppuun ilman käsiohjausta.

Yli vuoden vanha ovi ja 31 sekunnin korjaus

Miten kone pääsi sisään? Reitti oli varsin arkinen, sillä ovena toimi tekoälysovellusten rakenteluun tarkoitetun avoimen lähdekoodin Langflow-työkalun etäkoodihaavoittuvuus CVE-2025-3248.

Korjaus haavoittuvuuteen julkaistiin jo huhtikuussa 2025, ja Yhdysvaltain kyberturvallisuusvirasto CISA varoitti aktiivisesta hyväksikäytöstä toukokuussa 2025. Hyökkäyksen ovi oli siis yli vuoden vanha paikkaamaton aukko.

Sisällä agentti haravoi tunnuksia ja API-avaimia, kaappasi Langflow'n PostgreSQL-tietokannan ja avasi MinIO-tallennuspalvelun oletustunnuksilla minioadmin:minioadmin. Komentopalvelimelle se asensi cron-takaoven.

Lopuksi vuorossa olivat tuotantotietokanta ja Alibaban Nacos-palvelu, joihin agentti murtautui vanhan CVE-2021-29441-haavoittuvuuden ja oletusavaimella väärennetyn pääsylipun avulla. Saaliiksi jäi 1 342 salattua konfiguraatiotietuetta, joiden alkuperäiskappaleet tuhottiin.

Hyötykuormien seassa oli luonnollisen kielen päättelyä, kuten lokimerkintä High-ROI databases to drop eli suunnilleen tietokannat, joista saa parhaan tuoton. Ihmisoperaattorit eivät kommentoi koodiaan näin.

Lunnaita maksamalla ei olisi saanut mitään

Sitten se kömmähdys. Lunnasvaatimus oli täyttämiskelvoton alusta loppuun.

Salausavain oli satunnainen ja tulostui vain lokiin, eikä se tallentunut minnekään. Edes hyökkääjä ei olisi pystynyt purkamaan salausta.

Bitcoin-osoitteeksi malli oli laittanut Bitcoin-dokumentaation esimerkkiosoitteen, jonka se oli oppinut ulkoa. Lunnasviestin lupaama AES-256-salaus oli todellisuudessa heikompi AES-128-ECB, ja maksaminen olisi ollut puhdasta rahan haaskausta.

Puolustajille sotku tarjoaa muutakin kuin vahingoniloa. Aikeitaan luonnollisella kielellä selostava hyökkääjä jättää lokeihin uudenlaisen tunnistussignaalin, jota valvontatyökalut voivat oppia etsimään.

Osaamiskynnys romahti

Miksi yksittäinen ja vieläpä sähläävä murto on ihan oikeasti iso uutinen? Siksi, että rikoksen kynnys putosi, kun kokonaisen hyökkäysketjun voi hoitaa ohjelma ilman osaavaa ihmisryhmää.

Myös pienyritys, jonka avoimen koodin palvelu näkyy internetiin, on nyt kannattava kohde. Agentille jokainen avoin ovi on yhtä kiinnostava.

Kyberturvallisuuskeskus tai Traficom ei ole toistaiseksi kommentoinut JadePufferia, eikä suomalaisuhreja ole raportoitu. Traficom toteaa silti alkuvuoden 2026 kyberkatsauksessaan, että tekoälyavusteiset hyökkäykset ovat vuoden keskeinen uhka automaatiossa, tiedustelussa ja haavoittuvuuksien etsinnässä. Suomessa tapauksesta uutisoi Mobiili.fi 6. heinäkuuta.

Mitä tehdä

Neuvojen perusteet eivät muuttuneet, kiireellisyys muuttui. Pidä varmuuskopiot kunnossa ja säilytä ainakin yksi kopio verkosta irrallaan.

Asenna päivitykset ajallaan, etenkin internetiin näkyviin avoimen koodin kehitys- ja tekoälytyökaluihin. JadePufferin koko hyökkäys lepäsi aukon varassa, johon korjaus oli ollut tarjolla yli vuoden.

Vaihda palveluiden oletustunnukset ja eristä tunnukset toisistaan, jotta yksi vuotanut avain ei avaa koko ympäristöä. Vahva tunnistautuminen kuuluu samaan pakettiin.

Jos organisaation Langflow tai muu itse ylläpidetty tekoälytyökalu on ollut internetissä paikkaamattomana, ilmoita havainnosta ja mahdollisesta tietomurrosta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.

Paniikkiin ei ole aihetta, mutta vanha laskelma "emme kiinnosta ketään" kannattaa päivittää. Jää nähtäväksi, milloin seuraava vastaava tapaus dokumentoidaan ja kuinka paljon huolellisemmin sen lunnasvaatimus on rakennettu.

Lahteet

    Lue myos