JADEPUFFER: Første AI-drevne ransomware brugte et år gammelt hul
En AI-agent hackede sig ind, stjal kodeord, krypterede en database og skrev sin egen løsesumsnote. Uden et menneske ved tastaturet undervejs. Sikkerhedsfirmaet Sysdig kalder det JADEPUFFER og vurderer, at det er det første dokumenterede til…
En AI-agent hackede sig ind, stjal kodeord, krypterede en database og skrev sin egen løsesumsnote. Uden et menneske ved tastaturet undervejs.
Sikkerhedsfirmaet Sysdig kalder det JADEPUFFER og vurderer, at det er det første dokumenterede tilfælde af agentic ransomware. Men da de første overskrifter lød på »ingen menneskelig indblanding«, var det ikke hele billedet. Her er hvad der faktisk er nyt, hvad der slet ikke er, og hvad du konkret bør gøre.
Hvad der faktisk skete
Angrebet ramte to maskiner. Agenten kom først ind på en internet-eksponeret Langflow-server via CVE-2025-3248, et hul i det open source-værktøj mange bruger til at bygge LLM-apps. Derfra høstede den secrets, lagde en mekanisme der meldte tilbage til angriberens infrastruktur hvert 30. minut, og bevægede sig videre til det egentlige mål: en produktionsserver med en MySQL-database og en Alibaba Nacos-konfigurationstjeneste.
På målet udnyttede den et Nacos-hul fra 2021 til at lave sig selv en admin-konto, krypterede 1.342 Nacos-konfigurationer med databasens indbyggede krypteringsfunktion, slettede originalerne og efterlod en README_RANSOM-tabel med et krav, en Bitcoin-adresse og en kontakt-mail. I alt over 600 forskellige payloads i et kort tidsrum.
Det er en kompakt og ubehagelig historie. Men den bliver mere nuanceret, når man læser Sysdigs egen analyse frem for overskrifterne. For der er både noget her, der er nyt, og en hel del, der ikke er.
Var JADEPUFFER et fuldstændigt autonomt angreb?
Ikke helt. En AI-agent stod for den tekniske eksekvering fra ende til anden, men et menneske satte operationen op, skaffede infrastrukturen og valgte offeret. De adgangskoder, der blev brugt, kom fra et tidligere brud. Agenten kørte selve angrebet, ikke hele planen.
Kræver det en avanceret sårbarhed at blive ramt?
Nej. Angrebet brugte kendte, upatchede huller, blandt andet et Langflow-hul fra 2025 med en rettelse tilgængelig og et Nacos-hul fra 2021. Det farlige var ikke teknikken, men at infrastrukturen stod åben og uopdateret mod internettet.
Hvad er det vigtigste, vi selv bør gøre nu?
Patch og luk internet-eksponerede admin-flader, hold API-nøgler og credentials væk fra web-tilgængelige servere, og sæt egress-kontrol op. Læn dig på adfærdsdetektion frem for statiske indikatorer, da en agent kan skifte IP og filnavn på sekunder.
Hvad der er nyt
Teknikkerne var kendte i forvejen. Det nye er, at en AI-model bandt dem sammen til et komplet angreb selv og rettede sine egne fejl undervejs i maskinhastighed.
Sysdig fremhæver et forløb, hvor et login mislykkedes, hvorefter agenten på 31 sekunder diagnosticerede årsagen, slettede den fejlede konto, genskabte password-hashet og byggede kontoen igen. Uden et menneske. Et andet spor er, at koden var selv-fortællende: den indeholdt naturligt sprog, der forklarede hvorfor hvert skridt blev taget og hvilke mål der var mest værd at gå efter. Det skriver mennesker sjældent i engangskommandoer, men LLM-genereret kode gør det refleksivt.
Konsekvensen, som Sysdigs threat research-chef Michael Clark formulerer den, er økonomisk: tærsklen for at køre ransomware falder til, hvad det koster at køre en agent. Kører agenten oven i købet på stjålne API-nøgler, nærmer prisen sig nul. Det handler om skala. Den samme opgave, der før krævede en erfaren operatør i timevis, kan nu delegeres og køres parallelt.
Hvad der ikke er nyt (og det er en del)
Det meste af historien er faktisk genkendeligt, for ingen af teknikkerne var nye. Indgangshullet er over et år gammelt: NVD giver CVE-2025-3248 9,8 ud af 10, det har stået på CISA's liste over aktivt udnyttede sårbarheder siden maj 2025, og der har været en rettelse i Langflow siden version 1.3.0. Nacos-hullet er fra 2021. Det var forsømt, upatchet infrastruktur, ikke ukendte zero-days.
Der sad stadig et menneske bag, og det er den vigtigste korrektion. Efter de første overskrifter præciserede Clark til TechCrunch, at et menneske satte operationen op, skaffede infrastrukturen og valgte offeret. De root-credentials, agenten brugte til at komme ind i databasen, blev ikke fundet af agenten selv. Nogen skaffede dem via et tidligere brud og gav dem til operationen. »Ingen ved tastaturet« passer altså på den tekniske eksekvering, ikke på hele operationen.
Selve idéen er heller ikke ny. Allerede i august 2025 troede forskere, de havde fundet den første AI-drevne ransomware, PromptLock. Den viste sig at være et proof of concept fra et universitet, ikke et rigtigt angreb. JADEPUFFER er altså det første dokumenterede tilfælde i virkeligheden, ikke den første idé.
Og så var processen faktisk kluntet.
Krypteringsnøglen blev genereret tilfældigt, printet én gang og aldrig gemt eller sendt nogen steder. Offeret kan altså ikke få sine data igen, heller ikke ved at betale. Det er mere destruktion end en fungerende afpresningsforretning. Påstanden om, at data var eksfiltreret, stod som agentens egen kommentar i koden, ikke noget Sysdig kunne bekræfte.
Bitcoin-adressen i noten matcher oven i købet en velkendt eksempel-adresse fra offentlig dokumentation, hvilket kan være ren hallucination. Endelig kunne Sysdig ikke fastslå, hvilken model der drev agenten, og har ingen indsigt i dens systemprompt.
Hvorfor det alligevel skal tages alvorligt
To ting har alligevel flyttet sig.
Det ene er hygiejnen. Alt, hvad agenten udnyttede, lå der allerede: en eksponeret server med et kendt hul, secrets liggende i miljøet, standard-logins og en database-admin, der var åben mod internettet. Forsvaret ændrer sig ikke. Det bliver bare mere presserende, fordi en agent kan afsøge hele kataloget af gamle sårbarheder næsten gratis.
Det andet er tempoet. De 31 sekunder er et varsel: et forsvar bygget til mennesker, der arbejder én alarm ad gangen, er ikke bygget til en modstander, der handler på sekunder og kører parallelt. Det er en designudfordring, og den er værd at have med i planlægningen.
For en dansk kontekst er det heller ikke isoleret. Anthropic beskrev allerede i november 2025 et stort set autonomt cyberangreb, hvor Claude Code blev misbrugt i en statsstøttet spionagekampagne. JADEPUFFER er endnu et punkt på den kurve.
Det bør du gøre nu
Det gode er, at listen er kedelig og velkendt. Kører du selv Langflow, n8n eller anden AI-orkestrering i virksomheden, er det her et godt tidspunkt at tjekke, om de står åbne mod nettet med nøgler i miljøet. Sysdigs egne anbefalinger, oversat til praksis:
- Patch Langflow til mindst version 1.3.0, og lad aldrig kode-eksekverende endpoints stå åbne mod internettet.
- Kør ikke AI-orkestreringsservere med API-nøgler og cloud-credentials liggende i miljøet. Læg dem i en secrets-manager, væk fra web-tilgængelige processer.
- Hærd Nacos: skift standardnøglen, eksponer det aldrig mod internettet, og lad det aldrig forbinde til sin database som root.
- Eksponer aldrig en databases admin-konto mod internettet. Brug stærke, unikke logins og begræns adgang på kilde-IP.
- Sæt egress-kontrol op, så en kompromitteret server ikke bare kan melde hjem eller nå eksterne databaser.
- Læn dig på adfærdsdetektion frem for statiske indikatorer. En agent kan skifte IP, sti og filnavn på sekunder, så adfærd er det stabile lag.
Så ja, en AI kørte et helt ransomware-angreb. Men skru forventningen ned: det var et år gammelt hul, et par standard-logins og et menneske med stjålne credentials. Det nye og reelt vigtige er, at det hele nu kan skaleres af en agent, der arbejder hurtigere end noget menneske.
Det ændrer regnestykket for angriberne. Det ændrer ikke, hvad du skal gøre: patch dine ting, luk dine åbne døre, og byg forsvaret, så det ikke forudsætter en modstander i menneskehastighed.
Fortsæt læsningen
Hvad er Fable 5 og GPT-5.6 Sol
De fleste "Hvad er AI?"-artikler starter med en robot og en glaskrukke. Vi springer den over. Den vigtigste historie om sommerens to nye fro…
Cloudflare laver reglerne for AI-trafik om
Der er ved at ske et skifte i måden, hele internettet håndterer AI-trafik på. Det er større end en produktopdatering. Cloudflare, der sidder…
906 kald senere: Hvad køber du egentlig for mere effort i Opus 4.8?
En praktisk analyse af kvalitet, tokenforbrug og svartid, målt på et almindeligt Claude-abonnement, ikke i et laboratorium. Datagrundlag: 90…