AIを活用したサイバー攻撃の時代は、もはや将来の脅威ではなく、今まさに現実のものとなっています。2026年5月10日、Sysdig脅威リサーチチーム(TRT)はサイバー戦争における衝撃的な進化を目撃しました。
攻撃者たちは自律型大規模言語モデル(LLM)エージェントを展開し、完璧な侵害後のルーティンを実行。最終的に2分以内に内部PostgreSQLデータベースを窃取しました。
侵入はインターネットに公開されたmarimoノートブックに影響を与える既知の脆弱性CVE-2026-39987から始まりました。攻撃者はこのリモートコード実行(RCE)の欠陥を悪用し、侵害されたホストからクラウド認証情報を収集しました。
攻撃者たちは手動でデータを精査する代わりに、これらの認証情報をAIエージェントに入力しました。
AIは盗んだキーをCloudflare Workersの分散ネットワークを通じて素早く再利用し、AWS Secrets ManagerからSSH秘密鍵を取得して、下流のSSHバスションサーバーに対して並列セッションを起動しました。
Sysdig TRTのシニアディレクターであるMichael Clark氏によると、「私たちが目にしているのは、AIが攻撃者に取って代わる姿ではありません。攻撃者がスクリプトをAIに置き換えている姿です」とのことです。この事件は、硬直した事前構築済みの攻撃スクリプトから高度に適応可能な AIオーケストレーターへのシフトを完璧に示しています。
Sysdigは、この攻撃が人間や従来のスクリプトではなくリアルタイムでLLMによって駆動されていたことを証明する4つの明確なマーカーを特定しました。
即興的なターゲット分析 エージェントはスキーマの事前知識なしに特定のデータベーステーブルをダンプし、一般的なアプリケーション構造を推測するためにAIの推量に頼りました。
漏洩した計画のモノローグ コマンドストリームは偶然にも中国語のコメントを捉えました。「他に何ができるか見てみよう」と訳されるこのコメントは、複数のIPを通じてサブ秒の速度で送信されていました。
機械最適化されたフォーマット エージェントはコマンドセパレーター、境界付き行キャプチャを使用し、エラーメッセージを破棄することで、自身のコンテキストウィンドウをクリーンで処理しやすい状態に保ちました。
自己消費型の出力 AIは直前のコマンドの出力を即座に読み取り、価値ある認証情報を抽出して、攻撃の次のステージに直接入力しました。
この適応性により、攻撃者はもはやターゲットごとにカスタムのプレイブックを作成する必要がなくなりました。AIエージェントは環境を観察し、最善の進路を決定し、それを完璧に実行します。
Sysdigの調査によると、この攻撃のスピードは即時パッチ適用がいかに重要かを示しています。AIエージェントが主導権を握ると、最初のアクセスからデータベースの完全な窃取まで、わずか数分で完了しました。
この新興のAI駆動型脅威からインフラを保護するために、セキュリティチームは以下の緩和策を直ちに実施する必要があります。
RCE脆弱性にパッチを適用するため、marimoをバージョン0.23.0以降に更新してください。即時のパッチ適用が不可能な場合は、/terminal/wsエンドポイントへのネットワークアクセスを制限してください。
公開アクセス可能なmarimoインスタンスに保存されていたすべてのAWS認証情報、データベースパスワード、およびSSHキーをローテーションしてください。不正アクセスや秘密情報の露出がないか、環境変数と.envファイルを監査してください。
適応型AIエージェントに対して従来のシグネチャーベースの検知が失敗することが多いため、ラテラルムーブメントを検知する包括的なランタイム脅威検知を導入してください。
翻訳元: https://cyberpress.org/llm-agent-pivots-database/
