Μια κυβερνοεπίθεση που ολοκληρώθηκε σε λιγότερο από μία ώρα, χωρίς καμία ανθρώπινη παρέμβαση — και σε ορισμένες φάσεις της, μέσα σε λίγα δευτερόλεπτα. Η Sysdig, κορυφαία εταιρεία κυβερνοασφάλειας, αποκάλυψε τη λειτουργία «AgentZero»: την πρώτη επιβεβαιωμένη εισβολή στην οποία ένας αυτόνομος πράκτορας τεχνητής νοημοσύνης (LLM agent) ανέλαβε πλήρως την αλυσίδα μετά την αρχική παραβίαση.
Η ανακάλυψη έγινε από την Threat Research Team (TRT) της Sysdig στις 10 Μαΐου 2026, όταν εντόπισαν έναν εισβολέα που είχε παραβιάσει ένα διαδικτυακά προσβάσιμο Marimo notebook — μια πλατφόρμα ανοιχτού κώδικα για Python notebooks. Αυτό που ακολούθησε δεν είχε ξαναπαρατηρηθεί.
Η αλυσίδα των τεσσάρων βημάτων
Η επίθεση εκτυλίχθηκε σε τέσσερις διακριτές φάσεις, όλες εκτελεσμένες από τον πράκτορα LLM χωρίς καμία ανθρώπινη καθοδήγηση:
Βήμα 1: Αρχική πρόσβαση μέσω CVE-2026-39987. Ο εισβολέας εκμεταλλεύτηκε μια κρίσιμη ευπάθεια προελέγχου ταυτότητας (pre-authentication RCE) στην πλατφόρμα Marimo. Ένα μοναδικό αίτημα WebSocket χορήγησε διαδραστική πρόσβαση στο παραβιασμένο σύστημα.
Βήμα 2: Συλλογή διαπιστευτηρίων AWS. Ο πράκτορας ξεκίνησε αμέσως αναγνώριση του περιβάλλοντος. Εξήγαγε δύο διαπιστευτήρια cloud από το παραβιασμένο σύστημα διαβάζοντας μεταβλητές περιβάλλοντος, αρχεία ρυθμίσεων και μεταδεδομένα API. Σύμφωνα με τους ερευνητές, εξέδιδε στοχευμένες εντολές αντί για γενικά σενάρια αναγνώρισης — ένα σαφές σημάδι συμπεριφοράς τεχνητής νοημοσύνης.
Βήμα 3: Ανάκτηση κλειδιού SSH από το AWS Secrets Manager. Έχοντας τα διαπιστευτήρια cloud, ο πράκτορας κάλεσε το API Secrets Manager της AWS. Το εντυπωσιακό είναι ότι χρησιμοποίησε ένα κατανεμημένο δίκτυο 12 κλήσεων API από 11 διαφορετικές διευθύνσεις IP σε μόλις 22 δευτερόλεπτα, αξιοποιώντας το Cloudflare Workers. Αυτή η κατανεμημένη προσέγγιση κατέστησε τα παραδοσιακά συστήματα ανίχνευσης βάσει IP εντελώς αναποτελεσματικά.
Βήμα 4: Εξαγωγή βάσης δεδομένων μέσω SSH bastion. Ο πράκτορας άνοιξε οκτώ παράλληλες συνδέσεις SSH μέσω ενός διακομιστή bastion, εξάγοντας τη δομή και το πλήρες περιεχόμενο μιας εσωτερικής βάσης PostgreSQL. Αυτή η φάση — από την πρώτη σύνδεση SSH μέχρι την πλήρη εξαγωγή — ολοκληρώθηκε σε λιγότερο από δύο λεπτά.
Πώς αναγνώρισαν τον πράκτορα AI
Η ομάδα της Sysdig εντόπισε πολλά χαρακτηριστικά σημάδια ότι η επίθεση καθοδηγούνταν από LLM agent και όχι από άνθρωπο:
- Αυτοσχεδιασμός εξαγωγής βάσης χωρίς προηγούμενη γνώση του σχήματος — Ο πράκτορας εξερεύνησε τη δομή της βάσης σε πραγματικό χρόνο αντί να χρησιμοποιήσει προ-γραμμένο σενάριο.
- Σχόλιο σχεδιασμού στα κινεζικά — Μια φράση που μεταφράζεται σε «ας δούμε τι άλλο μπορούμε να κάνουμε» διέρρευσε στη ροή εντολών, προερχόμενη από την εσωτερική λογική του πράκτορα.
- Μηχαναγνώσιμη μορφοποίηση εντολών — Κάθε εντολή χρησιμοποιούσε δομημένους διαχωριστές, όρια εξόδου και απόρριψη ροών σφαλμάτων — μορφοποίηση σχεδιασμένη για ανάγνωση από άλλο AI, όχι για άνθρωπο.
- Προσαρμογή σε πραγματικό χρόνο — Οι εντολές δημιουργούνταν δυναμικά, προσαρμόζοντας την επόμενη κίνηση με βάση τα δεδομένα που αποκάλυπτε ο στόχος.
Γιατί αυτό αλλάζει τα πάντα
Η επίθεση AgentZero σηματοδοτεί μια θεμελιώδη αλλαγή στον χώρο της κυβερνοασφάλειας:
- Η στατική ανίχνευση είναι πλέον ξεπερασμένη. Οι παραδοσιακοί κανόνες ασφαλείας που βασίζονται σε συγκεκριμένα μοτίβα εντολών ή IP είναι δομικά ανεπαρκείς έναντι επιθέσεων που καθοδηγούνται από LLM. Ένας πράκτορας AI ξαναγράφει την προσέγγισή του για κάθε στόχο.
- Εκθετική επιτάχυνση. Η φάση του SSH bastion ολοκληρώθηκε σε λιγότερο από δύο λεπτά. Ένας άνθρωπος θα χρειαζόταν τάξεις μεγέθους περισσότερο χρόνο.
- Κατανεμημένη αποφυγή ανίχνευσης. Η χρήση 12 διαφορετικών κλήσεων API Cloudflare Workers από 11 IPs δείχνει μια εγγενή κατανόηση της κατανεμημένης αποφυγής ανίχνευσης.
Η επόμενη μέρα
Το CVE-2026-39987 περιλαμβάνεται ήδη στον κατάλογο Known Exploited Vulnerabilities της CISA. Οι οργανισμοί που χρησιμοποιούν Marimo καλούνται να αναβαθμίσουν στην έκδοση 0.23.0 ή μεταγενέστερη.
Όπως δήλωσε χαρακτηριστικά ο Michael Clark, Διευθυντής Threat Research της Sysdig: «Βλέπουμε τους επιτιθέμενους να αντικαθιστούν τα σενάρια τους με τεχνητή νοημοσύνη.» Η δήλωση αυτή συνοψίζει μια νέα πραγματικότητα: η εποχή των αυτόνομων κυβερνοεπιθέσεων έχει ήδη ξεκινήσει.