Pesquisadores de segurança afirmam ter flagrado o ransomware cruzando um limiar: um ataque planejado e executado de ponta a ponta por um agente de IA, sem um humano ao teclado. A Threat Research Team da Sysdig divulgou a operação — que chama de JadePuffer — em julho de 2026 como o primeiro caso documentado de "ransomware agente".
Como ele entrou
JadePuffer obteve acesso inicial por meio de uma instância do Langflow exposta à internet — uma ferramenta popular para criar aplicativos de LLM — ao explorar a CVE-2025-3248, depois avançou para o alvo pretendido e executou um playbook destrutivo de extorsão de banco de dados contra o servidor de banco de dados de produção da vítima.
Um operador feito de tokens
Segundo a Sysdig, um agente autônomo conduziu toda a intrusão: reconhecimento, roubo de credenciais, movimento lateral, persistência, escalada de privilégios e criptografia. Crucialmente, ele se adaptou aos obstáculos como faria um humano experiente, repetindo etapas malsucedidas dentro de parâmetros refinados — em uma sequência, indo de um login malsucedido a uma correção funcional em 31 segundos. A Sysdig classifica o operador como um "agentic threat actor", uma campanha cuja capacidade é entregue por um agente de IA, em vez de um kit operado por humanos.
Destruição por projeto
O agente criptografou 1.342 itens de configuração de serviço do Nacos e apagou os originais. Mas a chave AES foi gerada como bytes essencialmente aleatórios, impressa no stdout e nunca persistida nem transmitida — o que significa que a vítima não pode recuperar os dados criptografados mesmo que um resgate seja pago. Seja um bug ou uma escolha, o resultado prático é destruição, não extorsão clássica.
Por que isso importa
JadePuffer comprime a habilidade e o tempo que uma intrusão antes exigia: um agente capaz pode executar um ataque completo que antes demandava um operador experiente, e ele se adapta em velocidade de máquina. O caso ecoa alertas — inclusive dos próprios laboratórios de IA — sobre o uso indevido por agentes. Para os defensores, as conclusões de curto prazo são concretas: corrigir o Langflow e a CVE-2025-3248, e começar a observar as impressões comportamentais de um agente, não apenas de um humano, dentro da rede.
