JADEPUFFER: o primeiro ransomware tocado por um agente de IA — e o que isso exige de você

JADEPUFFER: o primeiro ransomware tocado por um agente de IA — e o que isso exige de você

Resposta rápida

A Sysdig documentou o JADEPUFFER, primeiro ransomware conduzido de ponta a ponta por um agente de IA. Ele entrou por um Langflow exposto (CVE-2025-3248, execução de código sem autenticação), rodou 600+ payloads adaptativos e extorquiu o banco de produção. O recado: o básico de segurança — não expor ferramentas, aplicar patch, mínimo privilégio, backup testado, monitorar comportamento — virou urgente, porque o prazo entre falha e exploração caiu para minutos.

  • JADEPUFFER é o primeiro caso documentado de ransomware totalmente agêntico (conduzido por IA).
  • A entrada foi uma ferramenta de IA (Langflow) exposta na internet, via CVE-2025-3248.
  • O agente disparou 600+ payloads e se recuperou de uma falha em 31 segundos — velocidade impossível para humanos.
  • O ataque não usou mágica: usou o básico negligenciado — exposição e falta de patch.
  • Defesa: não expor ferramentas, patch prioritário, mínimo privilégio, backup testado e monitorar comportamento.
Quem documentouSysdig (Threat Research Team)
Vetor de entradaLangflow exposto via CVE-2025-3248 (RCE sem autenticação)
Escala600+ payloads coordenados; recuperação de falha em 31 segundos
Ineditismo1º ransomware conduzido de ponta a ponta por um agente de IA

A equipe de pesquisa de ameaças da Sysdig registrou o que classifica como o primeiro caso documentado de ransomware agêntico: uma operação de extorsão conduzida do início ao fim por um agente de inteligência artificial, e não por um humano no teclado. O nome do caso é JADEPUFFER, e ele marca uma virada que a indústria de segurança temia — o atacante autônomo saiu do papel.

Como o ataque funcionou

O agente obteve acesso inicial por uma instância do Langflow — uma ferramenta popular para montar fluxos de IA — exposta na internet. A porta de entrada foi a falha CVE-2025-3248, uma ausência de autenticação no endpoint de validação de código do Langflow que permite a um atacante não autenticado executar Python arbitrário no servidor. Dali, o agente rodou uma campanha totalmente automatizada e adaptativa até chegar ao alvo: o banco de dados de produção da vítima, contra o qual executou um roteiro de extorsão.

Os números mostram por que isso assusta: o agente completou a cadeia inteira de invasão — do acesso inicial à extorsão do banco — disparando mais de 600 payloads coordenados, com raciocínio em linguagem natural, priorização de alvos e anotações próprias. Num momento, ele se recuperou de uma tentativa falha de criar uma conta de administrador em 31 segundos. Nenhum humano opera nessa velocidade e nessa escala ao mesmo tempo.

O que muda com o atacante virando agente

Até aqui, a IA acelerava partes de um ataque humano. O JADEPUFFER é diferente: a capacidade de ataque é entregue pelo próprio agente. Ele adapta a estratégia em tempo real, tenta caminhos alternativos quando algo falha e não cansa. Isso comprime o tempo entre uma falha exposta e a exploração dela de dias para minutos — e conversa direto com o que a OpenAI mostrou ao revelar o GPT-Red, a IA que ataca outras IAs. A mesma tecnologia que defende, ataca.

O recado prático: o básico agora é urgente

A boa notícia é que o JADEPUFFER não usou mágica — usou uma ferramenta exposta e sem patch. As defesas de sempre continuam valendo, só que o prazo encolheu. Se você roda qualquer coisa acessível pela internet — especialmente ferramentas de IA como o Langflow —, tratar isso como prioridade deixou de ser exagero. É a mesma disciplina de rodar um agente com segurança e contenção: o que está exposto e desatualizado é a primeira porta que um agente hostil vai testar.

Perguntas frequentes

O JADEPUFFER pode atacar a minha empresa?

O caso específico ocorreu no exterior, mas a técnica é replicável: qualquer serviço exposto na internet com uma falha conhecida é alvo potencial. O risco não é esse ataque em si, é a classe de ataque autônomo que ele inaugura.

Preciso de ferramentas caras para me defender?

Não para o essencial. O JADEPUFFER explorou o básico negligenciado: ferramenta exposta e sem patch. Patch em dia, mínimo privilégio, backup testado e monitoramento de comportamento cobrem a maior parte do risco.

Por que um ransomware com IA é mais perigoso?

Porque o agente adapta a estratégia em tempo real, tenta caminhos alternativos quando falha e opera em velocidade e escala impossíveis para um humano — reduzindo de dias para minutos o tempo entre uma falha exposta e sua exploração.