Il primo luglio 2026 la società di sicurezza informatica Sysdig ha pubblicato un'analisi che segna una soglia importante nella storia del cybercrimine: un'operazione ransomware condotta dall'inizio alla fine da un agente basato su un modello linguistico di grandi dimensioni, senza alcun intervento umano diretto nell'esecuzione tecnica dell'attacco. I ricercatori hanno battezzato l'operatore JadePuffer, definendolo il primo caso documentato di ransomware agentico, ovvero un'attività malevola in cui la capacità operativa non deriva da un kit di strumenti guidato da una persona, ma da un agente artificiale capace di ragionare e adattarsi in autonomia.
L'attacco si è sviluppato in due fasi distinte. Il punto di ingresso è stata un'istanza di Langflow, un framework open source per la costruzione di applicazioni e flussi di lavoro basati su agenti AI, esposta su internet e vulnerabile a una falla nota come CVE-2025-3248, un difetto di autenticazione mancante che consente l'esecuzione di codice da remoto. Si tratta di una vulnerabilità corretta dal produttore oltre un anno prima dell'attacco, a conferma di come la superficie di rischio reale non sia tanto quella delle minacce inedite, quanto quella dei sistemi lasciati senza patch. Una volta ottenuto l'accesso iniziale attraverso payload Python codificati in Base64 inviati tramite l'endpoint vulnerabile, l'agente ha mappato l'host, verificato i servizi in esecuzione, cercato segreti e credenziali, ed effettuato il dump del database PostgreSQL di Langflow, alla ricerca di chiavi di provider AI, credenziali cloud, wallet di criptovalute e file di configurazione. Ha inoltre installato un cron job per garantirsi persistenza, configurato per contattare l'infrastruttura di comando e controllo dell'attaccante ogni trenta minuti.
Da questo primo punto d'appoggio, l'agente si è spostato lateralmente fino a raggiungere un server di produzione che eseguiva MySQL insieme al servizio di configurazione Nacos di Alibaba, sfruttando credenziali di root la cui origine i ricercatori non sono riusciti a determinare. Contro Nacos è stata utilizzata, tra gli altri, una vulnerabilità del 2021 nota come CVE-2021-29441, un bypass di autenticazione che consente la creazione di account amministrativi non autorizzati, corretta dal fornitore nell'aprile 2025 e poi segnalata dalla CISA come attivamente sfruttata già nel maggio dello stesso anno. L'agente ha infine cifrato 1.342 elementi di configurazione del servizio Nacos, cancellando gli originali e lasciando una nota di riscatto, il tutto eseguendo complessivamente oltre seicento payload coordinati nel corso dell'intera catena d'attacco.
Il direttore della ricerca sulle minacce di Sysdig ha descritto il caso come la prima documentazione di un'operazione di estorsione condotta interamente da un agente basato su un modello linguistico. Ciò che colpisce gli analisti non è la sofisticazione delle singole tecniche impiegate, tutte già note e documentate da anni, quanto la capacità dell'agente di concatenarle in una campagna adattiva e completamente automatizzata, senza che l'operatore possedesse competenze approfondite in nessuna delle fasi. È esattamente questo il punto che rende JadePuffer un caso di studio per la governance della sicurezza informatica: l'intelligenza artificiale non introduce necessariamente nuove armi, ma abbassa drasticamente la soglia di competenza necessaria per orchestrarle, rendendo attacchi complessi accessibili anche a chi non avrebbe le capacità tecniche per condurli manualmente.
Le implicazioni superano il singolo incidente. Se un agente può concatenare ricognizione, furto di credenziali, movimento laterale, persistenza e distruzione dei dati a velocità macchina, il tradizionale modello difensivo basato su tempi di risposta umani rischia di diventare strutturalmente inadeguato. Gli analisti del settore osservano che la scansione sistematica di intere cataloghi di vulnerabilità storiche, la cosiddetta pratica dello spray-and-pray, diventa a costo quasi nullo quando automatizzata da un agente AI, e che l'esposizione di lungo periodo dei sistemi non aggiornati è destinata ad aumentare proprio per questo motivo. Non è un caso che, all'indomani della pubblicazione del report, l'attenzione degli investitori e dei responsabili della sicurezza si sia spostata con maggiore decisione verso le soluzioni di difesa autonoma basate a loro volta sull'intelligenza artificiale.
Il caso JadePuffer si inserisce in un anno già segnato da violazioni di dati di scala rilevante, da Nissan ad Aflac, passando per Accenture, spesso originate da vulnerabilità di anni precedenti mai realmente chiuse. Ma introduce un elemento nuovo nella discussione pubblica e regolatoria: se un'operazione di estorsione digitale può essere pianificata, eseguita e adattata da un sistema artificiale senza supervisione umana in tempo reale, la responsabilità giuridica e la stessa attribuzione dell'attacco diventano questioni aperte, destinate a intrecciarsi con il dibattito più ampio sulla regolamentazione dei sistemi agentici e sui limiti di autonomia che è ragionevole concedere loro, in ambito difensivo quanto, evidentemente, in quello offensivo.