20 часов до первого удара. Как ИИ-инструменты лишили системных администраторов сна

Уязвимости в популярных ИИ-инструментах всё чаще превращаются в рабочие атаки почти мгновенно. Свежий пример показал, насколько стремительно злоумышленники адаптируются к новым находкам: на разработку и запуск эксплуатации им понадобились считаные часы.

17 марта 2026 года в открытом фреймворке Langflow обнаружили критическую проблему безопасности с индексом CVE-2026-33017. Речь идёт о выполнении произвольного кода без авторизации через публичный API. Достаточно одного HTTP-запроса, чтобы запустить вредоносный Python-код на уязвимом сервере.

Команда Sysdig зафиксировала первые попытки атак уже через 20 часов после публикации информации. При этом готовых примеров эксплуатации в открытом доступе тогда не было. Злоумышленники собрали рабочий сценарий, опираясь только на описание проблемы, и сразу начали сканировать интернет в поисках доступных экземпляров Langflow.

Атаки развивались по нарастающей. Сначала автоматизированные инструменты проверяли уязвимость и отправляли простые команды, чтобы убедиться в возможности выполнения кода. Затем появились более сложные сценарии с ручной доработкой — атакующие изучали структуру системы, читали файлы и пытались закрепиться. В течение суток отдельные группы перешли к сбору конфиденциальных данных, включая переменные окружения, ключи API и параметры подключения к базам данных.

Особенность уязвимости связана с механизмом сборки «потоков» в Langflow. API принимает пользовательские данные, внутри которых можно внедрить произвольный код, и выполняет его на стороне сервера без изоляции. Такой подход открывает прямой доступ к системе и всем связанным сервисам — аналогично тому, как удалённое выполнение кода достигается через взаимодействие компонентов ИИ-экосистемы даже в полностью обновлённых окружениях.

В ходе наблюдений специалисты развернули сеть приманок с уязвимыми узлами и зафиксировали активность с нескольких IP-адресов. Часть атак шла через автоматические сканеры, другая — через заранее подготовленные инструменты с инфраструктурой для загрузки дополнительных компонентов. В отдельных случаях злоумышленники сразу переходили к выгрузке данных и подготовке дальнейших этапов атаки.

Собранные сведения фиксируют сокращение временного разрыва между публикацией проблемы и реальными атаками. Если раньше на подготовку эксплуатации уходили дни или недели, теперь счёт идёт на часы. Причём атакующие не ждут появления готовых инструментов — хватает подробного описания.

Отчёт подчёркивает, что традиционные циклы обновлений уже не успевают за такими темпами. Защита смещается в сторону контроля поведения приложений и отслеживания подозрительной активности в реальном времени. В противном случае даже краткая задержка с обновлением может привести к утечке данных и компрометации инфраструктуры.