El primer ciberataque documentado impulsado por LLM exfiltró una base de datos en menos de una hora
El 10 de mayo de 2026, se produjo un ciberataque que los investigadores de seguridad habían temido durante mucho tiempo pero que nunca habían confirmado en el mundo real: un LLM Agent llevando a cabo una cadena completa de post-explotación por sí solo, sin un operador humano que guiara cada paso. El equipo de Investigación de Amenazas de Sysdig documentó el incidente y publicó sus hallazgos esta semana.
El ataque comenzó con una vulnerabilidad conocida. CVE-2026-39987 es una falla de ejecución remota de código sin autenticación previa en Marimo, un entorno de notebooks Python de código abierto ampliamente utilizado en ciencia de datos y flujos de trabajo de Machine Learning. Una sola solicitud WebSocket fue suficiente para obtener una shell en cualquier servidor sin parchear. A partir de ahí, el LLM Agent tomó el control.
Cuatro Pivotes, Una Hora
Lo que siguió no fue una secuencia predefinida. El Agent improvisó en cada paso, adaptando sus comandos a lo que cada sistema comprometido revelaba. Obtuvo credenciales en la nube de archivos de entorno, recuperó una clave privada SSH de AWS Secrets Manager, abrió ocho sesiones SSH paralelas contra un servidor bastión downstream, y exfiltró completamente una base de datos PostgreSQL interna. La fase de movimiento lateral tomó menos de dos minutos. La cadena completa, desde el acceso inicial hasta la exfiltración de datos, se completó en poco más de una hora.
El análisis forense de Sysdig identificó varios marcadores que confirmaban un comportamiento autónomo de IA en lugar de un ataque con guión: improvisación en tiempo real del esquema de base de datos, un comentario de planificación filtrado escrito en chino incrustado en la salida del comando, formato de salida optimizado por máquina, y encadenamiento de comandos de salida alimentada a entrada a través de múltiples pivotes. Ningún humano tomó una decisión entre los pasos.
Por Qué Esto Cambia el Modelo de Amenazas
Los sistemas tradicionales de detección de intrusiones y los libros de juego de respuesta a incidentes asumen ataques a ritmo humano. El movimiento lateral que toma días u horas da tiempo a los defensores para detectar, contener y responder. Un Agent impulsado por LLM que completa la misma cadena en menos de dos minutos no lo permite.
El ataque también demostró un cambio cualitativo: el Agent no ejecutaba un guión fijo sino que tomaba decisiones contextuales. Cuando encontraba un nuevo sistema, se adaptaba. Este tipo de explotación dinámica y basada en razonamiento no tiene precedentes en los patrones de ataque documentados.
La Vulnerabilidad y los Sistemas Afectados
CVE-2026-39987 afecta a servidores de notebooks Marimo expuestos a internet, una configuración común en entornos de desarrollo, investigación y ciencia de datos donde los notebooks se comparten entre equipos. Las organizaciones que ejecutan instancias de Marimo sin parchear deben tratar esto como una prioridad crítica. Sysdig recomienda parchear de inmediato, eliminar la exposición a internet de los servidores de notebooks, rotar cualquier credencial en la nube almacenada en archivos de entorno y auditar los registros de acceso de AWS Secrets Manager en busca de recuperaciones de claves no autorizadas.
Una Advertencia para la Defensa en la Era de la IA
Este incidente no será el último. Los LLM Agent ya son capaces de realizar intrusiones en el mundo real a velocidad de máquina, adaptándose a entornos novedosos y tomando decisiones de múltiples pasos sin guía humana. Los marcos de respuesta de la industria de la seguridad, construidos en torno a los plazos de los atacantes humanos, ya no son suficientes por sí solos. La detección automatizada, la respuesta a velocidad de máquina y el aislamiento de credenciales son ahora apuestas de mesa, no un refuerzo opcional.
Originally reported by CyberSecurityNews / Sysdig. Read the original article for additional details.
View original source