Minulý týden zveřejnila bezpečnostní firma Sysdig analýzu útoku s krycím jménem JadePuffer — a bezpečnostní komunita ho okamžitě označila za první plně autonomní ransomware útok v historii. Ne člověk s nástrojem. AI agent, který sám naplánoval, provedl a vyhodnotil celý útok od začátku do konce.
Než se lekněte a vypnete všechny AI nástroje ve firmě — nádech. Tenhle článek vysvětlí, co se přesně stalo, proč je to jiné než klasický ransomware, a hlavně: co z toho reálně plyne pro malou nebo střední firmu v Česku. Spoiler: není to "AI je nebezpečná", ale je to důvod přitvrdit v základní kybernetické hygieně.
Co se přesně stalo
Útočníci našli na internetu veřejně přístupnou instanci nástroje Langflow (populární open-source platforma pro stavbu AI aplikací) se známou, neopravenou zranitelností (CVE-2025-3248). Tou se dostali dovnitř. Od tohoto bodu ale útok neřídil člověk — řídil ho AI agent.
Agent sám: posbíral přístupové údaje a API klíče uložené v databázi, rozšířil si přístup do dalších systémů, nainstaloval si mechanismus pro udržení přístupu (úlohu, která se každých 30 minut hlásila na server útočníků), přesunul se na produkční databázový server a nakonec zašifroval přes 1 300 konfiguračních záznamů a smazal originály.
Nejpozoruhodnější detail: když agentovi něco nevyšlo — třeba neúspěšné přihlášení — sám to vyhodnotil, upravil postup a zkusil to znovu. V jednom případě mu to od neúspěšného pokusu k funkčnímu řešení trvalo 31 sekund. A protože běžel na jazykovém modelu, po sobě nechal něco, co lidský útočník nikdy nepíše: podrobné komentáře v přirozeném jazyce vysvětlující, co a proč dělá.
Proč je to jiná liga než běžný ransomware
Klasický ransomware potřebuje člověka, který ho řídí — naplánuje kroky, reaguje na překážky, rozhoduje se, kam dál. To je drahé a pomalé, a proto si sofistikované cílené útoky dřív mohli dovolit jen dobře financovaní útočníci mířící na velké cíle.
Autonomní agent tohle mění. Nepotřebuje spánek, nepotřebuje zkušeného operátora, nepotřebuje ani moc peněz — pokud útočník používá ukradené přístupy k cizím AI účtům (tzv. LLMjacking), náklady na provoz agenta jsou téměř nulové. Bezpečnostní analytici to shrnují jednoduše: laťka dovedností potřebných ke spuštění útoku téměř zmizela. Není to jen "útok byl chytřejší". Je to "útok, který dřív vyžadoval tým, teď zvládne jeden člověk s přístupem k AI modelu".
Netýká se to jen firem, co "dělají AI"
Nejčastější mylná představa: "my žádnou AI nevyvíjíme, tak se nás to netýká". Cílem útoku JadePuffer nebyla AI firma — byla to běžná produkční databáze. Vstupní branou byl jen nástroj, který měl někdo (možná i externí dodavatel) vystavený na internetu bez aktualizace.
Pro firmu v Česku je relevantní otázka jiná: máte přehled o všech nástrojích, které jsou z internetu dostupné — a jsou aktuální? Platí to pro AI nástroje (chatboti, automatizační platformy, interní AI dashboardy) úplně stejně jako pro cokoliv jiného. AI tady není příčina, je to jen další kategorie softwaru, kterou je potřeba spravovat stejně pečlivě jako všechno ostatní.
Co udělat — bez paniky, ale reálně
1. Zjistěte, co máte vystavené na internetu. Chatbot na webu, AI automatizační nástroj, admin rozhraní k nějaké platformě — pokud je to dostupné zvenčí, musí to být aktuální a zabezpečené heslem/dvoufaktorovým ověřením. Pokud nevíte, co všechno firma provozuje, je čas si to sepsat.
2. Aktualizujte, hlavně u nástrojů třetích stran. Zranitelnost zneužitá v JadePuffer byla známá měsíce před útokem — oprava existovala, jen ji nikdo neaplikoval. Platí univerzálně: pokud používáte hotový AI nástroj (Langflow, n8n, jakoukoli platformu), aktualizace nejsou otravná otázka IT, jsou to zamčené dveře.
3. Ošetřete přístupové údaje. API klíče a hesla uložené "natvrdo" v konfiguraci jsou přesně to, co si agent JadePuffer jako první stáhl. Používejte správce hesel, rotujte klíče, nikdy je nesdílejte v čitelné podobě přes e-mail nebo chat.
4. Segmentujte přístup. Agent se v útoku přesunul z jednoho kompromitovaného nástroje na produkční server — protože k tomu měl cestu. Pokud testovací nebo pomocné nástroje mají přístup k ostrým datům "pro pohodlí", je to riziko, které se nevyplácí.
5. Tohle je přesně ta AI gramotnost, o které mluví AI Act. Povinnost zajistit, aby lidé ve firmě rozuměli rizikům spojeným s AI nástroji, platí od února 2025 (psali jsme o tom v samostatném článku). Bezpečnostní hygiena kolem AI nástrojů do toho spadá přímo — není to jen "co se smí psát do ChatGPT", ale i "kdo spravuje přístupy k AI platformám, které firma provozuje".
Upřímný pohled na budoucnost
JadePuffer není poslední autonomní útok, bude jen první ze série. Bezpečnostní firmy očekávají, že se tenhle typ útoku rychle stane standardem, ne výjimkou — přesně proto, že je levný a škáluje. To ale neznamená, že obrana musí být složitá nebo drahá. Většina toho, co JadePuffer využil, byly základní chyby: neopravený software, volně dostupné přístupové údaje, žádná segmentace. Firmy s poctivou základní hygienou zůstávají mimo dosah i autonomních útočníků — ti si totiž, stejně jako lidé, vybírají nejsnazší cíl.
Časté otázky k AI ransomware útokům
Součástí AI auditu je i prověření stávajících AI systémů — včetně bezpečnosti dat a přístupů. Zjistíte, kde máte reálné riziko a co s tím udělat, bez zbytečného strašení.
Nezávazná konzultace zdarmaStavím AI řešení pro české firmy — od chatbotů po znalostní systémy. Píšu o tom, co reálně funguje, bez buzzwordů. Více o mně →