Un agente basato su un modello linguistico avrebbe gestito autonomamente un attacco informatico completo, dall’accesso iniziale alla distruzione dei dati e alla richiesta di riscatto. Il caso, chiamato JADEPUFFER, è stato documentato da Sysdig il 1° luglio 2026 e ripreso dalla stampa internazionale il 6 luglio.
Il malware autonomo JADEPUFFER non ha introdotto una tecnica di intrusione sconosciuta. Ha combinato vulnerabilità già note, ricerca di credenziali, spostamenti tra server e manipolazione dei database. La differenza è che l’esecuzione sarebbe stata coordinata da un agente IA capace di valutare gli errori e modificare autonomamente il passaggio successivo.
Come funziona il malware autonomo JADEPUFFER

JADEPUFFER ha utilizzato una vulnerabilità già corretta di Langflow per entrare in un server esposto su Internet. Da quella posizione ha cercato credenziali e servizi collegati, provato diversi accessi e raggiunto il database di produzione scelto come obiettivo. L’agente ha quindi cancellato informazioni, cifrato configurazioni e preparato il ricatto.
Il punto di ingresso era CVE-2025-3248, registrata nel National Vulnerability Database. La falla interessa le versioni di Langflow precedenti alla 1.3.0 e permette a un aggressore remoto non autenticato di eseguire codice arbitrario attraverso un endpoint destinato alla validazione del codice.
Langflow è un ambiente open source usato per costruire applicazioni e flussi di lavoro basati sull’intelligenza artificiale. Un’installazione non aggiornata e raggiungibile dalla rete può contenere chiavi API, credenziali cloud e collegamenti a database, offrendo all’attaccante un punto di partenza particolarmente utile.
- ricerca di chiavi API, credenziali cloud e accessi ai database
- estrazione di dati dall’istanza PostgreSQL compromessa
- riutilizzo delle credenziali per raggiungere altri sistemi
- cifratura di 1.342 elementi di configurazione Nacos
- eliminazione di tabelle e creazione della richiesta di riscatto
Perché JADEPUFFER è diverso dai ransomware tradizionali
Un ransomware classico può già eseguire automaticamente numerose operazioni. Di solito, però, un criminale stabilisce la strategia, interviene quando un comando fallisce e decide come proseguire all’interno della rete. JADEPUFFER avrebbe affidato queste scelte tattiche a un modello linguistico.
Durante l’attacco, i payload contenevano spiegazioni in linguaggio naturale sulle azioni intraprese e sugli obiettivi considerati prioritari. Il sistema non si limitava a seguire una sequenza rigida: analizzava il risultato di ogni tentativo, correggeva i parametri e riprovava. In un passaggio sarebbe riuscito a trasformare un accesso fallito in una soluzione funzionante in 31 secondi.
L’analisi tecnica di JADEPUFFER pubblicata da Sysdig definisce questo modello operativo agentic ransomware. Non indica un software capace di pensare come una persona, ma un agente che riceve un obiettivo, usa strumenti disponibili e decide quali operazioni eseguire in base ai risultati ottenuti.
La definizione di attacco senza operatore va quindi interpretata con cautela. Una persona deve comunque configurare l’agente, fornirgli infrastruttura e risorse, indicare un obiettivo generale e predisporre i canali per il pagamento. A scomparire è soprattutto la necessità di avere un criminale costantemente davanti alla tastiera durante l’intrusione.
Il ricatto poteva non restituire i dati alla vittima
JADEPUFFER ha lasciato una richiesta di pagamento con un indirizzo Bitcoin e un contatto email. I ricercatori non hanno però individuato una chiave di decifratura o un sistema predisposto per recuperare le informazioni. Pagare il riscatto avrebbe quindi potuto non consentire alcun ripristino.
Questo comportamento potrebbe dipendere da un errore del modello, da una procedura incompleta oppure dalla volontà di distruggere i dati e usare il riscatto soltanto come ulteriore tentativo di guadagno. Non è stata inoltre confermata l’effettiva esportazione delle informazioni verso un server esterno, anche se il codice generato durante l’attacco sosteneva che fosse avvenuta.
Il caso mostra anche un limite utile per chi difende le reti. Il codice prodotto dall’agente era molto dettagliato e descriveva le proprie intenzioni, lasciando segnali comportamentali insoliti. Queste tracce possono aiutare i sistemi di rilevamento a distinguere un attacco orchestrato da un modello linguistico da uno script malevolo tradizionale.
Cosa cambia per la sicurezza di server e aziende

La prima difesa resta meno futuristica di quanto suggerisca la minaccia: aggiornare i servizi esposti, rimuovere le installazioni inutili, separare gli ambienti e limitare i privilegi delle credenziali. JADEPUFFER è entrato attraverso una falla nota e già corretta, non grazie a una vulnerabilità creata autonomamente dall’intelligenza artificiale.
La velocità introduce però un problema concreto. Un agente può ripetere tentativi, correggere errori e passare da un sistema all’altro senza pause, restringendo il tempo disponibile agli analisti per intervenire. Servono quindi controlli capaci di riconoscere comportamenti anomali e bloccare automaticamente processi, connessioni e credenziali sospette.
JADEPUFFER non dimostra che i ransomware siano diventati coscienti. Mostra qualcosa di più realistico: parti complesse di un attacco possono essere delegate a un agente IA, abbassando le competenze e il tempo necessari per condurre un ricatto digitale. La prossima sfida sarà capire quanto rapidamente questo modello passerà da un singolo caso documentato a operazioni ripetibili su larga scala.