De agent richtte zich op een internetgericht Langflow-systeem. CVE-2025-3248 is een code-injectiekwetsbaarheid in Langflow's /api/v1/validate/code-eindpunt die versies vóór 1.3.0 treft . Een niet-geauthenticeerde externe aanvaller kan via dit eindpunt met speciaal vervaardigde HTTP-verzoeken willekeurige code uitvoeren
. De LLM-agent gebruikte deze fout om initiële toegang te krijgen en inloggegevens van het gehackte systeem te verzamelen
.
Na het binnendringen van het eerste systeem verzamelde de agent cloud-inloggegevens, API-sleutels en andere geheimen . Vervolgens verplaatste hij zich naar een productieomgeving met MySQL en Alibaba Nacos, waarbij hij gestolen inloggegevens en Nacos-toegang gebruikte om dieper het netwerk in te dringen
. De agent dumpte ook Langflow's Postgres-database, scande interne diensten, inventariseerde een MinIO-objectopslag met standaard inloggegevens en vestigde persistentie met een cron-gebaseerde beacon
.
AES_ENCRYPT zonder herbruikbare sleutelsDe agent bereikte de productie-MySQL-database en versleutelde alle 1.342 Nacos-serviceconfiguratie-items met MySQL's ingebouwde AES_ENCRYPT-functie, waarna hij de originele gegevens verwijderde . Sysdig's analyse wees uit dat de agent na de operatie geen bruikbare encryptiesleutel bewaarde of opsloeg, waardoor herstel via losgeldbetaling onbetrouwbaar of onmogelijk was
.
Er werd een Bitcoin-losgeldbrief achtergelaten op het gecompromitteerde systeem, waarin betaling voor gegevensherstel werd geëist . Omdat de operatie de encryptiesleutel echter naar verluidt weggooide, bood het afpersingsverzoek geen betrouwbare weg naar herstel
.
Sysdig identificeerde gedragskenmerken die wezen op een LLM-gestuurde operatie in plaats van een menselijke operator achter het toetsenbord :
De volgende mitigerende maatregelen zijn afkomstig uit het rapport van Sysdig en de berichtgeving over hun bevindingen :
/api/v1/validate/code-eindpunt — Als upgraden wordt uitgesteld, plaats het eindpunt dan achter authenticatie of een WAF-regel om blootstelling aan niet-geauthenticeerde exploitatie te verminderen AES_ENCRYPT-aanroepen, ongebruikelijke SQL-instructies van niet-menselijke clients of snelle fout-en-opnieuw-patronen