Cybersäkerhetsbranschen har varnat i flera år för att AI förr eller senare skulle sänka ribban för seriös brottslighet. Den här veckan slutade varningen vara teoretisk. Sysdig har publicerat en detaljerad forensisk genomgång av en attack som fått namnet JADEPUFFER — den första dokumenterade ransomware-operationen som utfördes nästan helt av en autonom AI-agent, utan att en människa styrde varje steg.

Så gick attacken till

Intrånget började på ett välbekant sätt: en internetexponerad Langflow-server med en känd sårbarhet, CVE-2025-3248. Därifrån tog en AI-agent över — genomförde spaning, stal inloggningsuppgifter, rörde sig lateralt i nätverket, eskalerade behörigheter och nådde till slut en produktionsdatabas, där den krypterade över 1 300 konfigurationsposter och raderade originalen.

Så vet forskarna att det var AI

Det som övertygade Sysdig var attackens "röst". Nyttolasterna var fyllda med klarspråkskommentarer där AI:n förklarade sitt eget resonemang — vilken databas som såg mest värdefull ut, varför ett visst mål prioriterades, vad varje steg skulle uppnå. Den typen av löpande självförklaring är ett kännetecken för kod som genereras av en språkmodell i realtid; mänskliga angripare kommenterar normalt inte sin engångskod på det sättet. Lika talande var anpassningsförmågan: i en sekvens gick agenten från ett misslyckat inloggningsförsök till en fungerande exploatering på 31 sekunder, genom att tyst justera sina egna parametrar tills något fungerade.

Lösensumman som aldrig gick att betala

Det finns en mörkt komisk twist i hur själva utpressningen byggdes. Krypteringsnyckeln genererades från ren slumpdata och skrevs bara ut i en konsolloggning — den sparades eller skickades aldrig någonstans. Att betala lösensumman skulle alltså inte ge offret tillbaka sin data, eftersom AI-agenten aldrig behöll nyckeln som krävdes för att låsa upp den. Oavsett om det var en medveten designbrist eller ett rent misstag i en annars mycket kompetent attackkedja, understryker det en verklig risk med AI-driven brottslighet: inte ens angriparen behöver fullt ut förstå vad agenten faktiskt gjorde.

Varför det här spelar roll

Det som gör JADEPUFFER viktig är inte attackens storlek — det är vad den säger om tröskeln för att genomföra en allvarlig cyberattack. Att kedja ihop spaning, stöld av inloggningsuppgifter, lateral rörelse och förstörelse krävde tidigare djup expertis inom flera specialområden. JADEPUFFER visar att en enda operatör med tillgång till en kapabel AI-agent nu kan orkestrera hela kedjan, medan AI:n fyller i de tekniska luckorna i realtid. Samma vecka presenterade EU-kommissionen sin nya handlingsplan för cybersäkerhet och artificiell intelligens, riktad mot precis den här typen av AI-native hot. Både planen och JADEPUFFER lär refereras i säkerhetsdiskussioner länge framöver.