Pertama Kali Dikonfirmasi Eksploitasi Post-LLM-Agent di Alam Liar: CVE-2026-39987 Marimo RCE hingga Eksfiltrasi Database Penuh dalam 4 Pivot

Tim Threat Research Sysdig mendokumentasikan intrusi pertama yang dikonfirmasi di alam liar di mana agen model bahasa besar secara otonom mengeksekusi rantai post-eksploitasi penuh tanpa arahan manusia. Pada 10 Mei, seorang penyerang mengeksploitasi CVE-2026-39987 — RCE pre-autentikasi dalam Marimo (notebook reaktif Python, versi ≤0.20.4) melalui endpoint terminal WebSocket yang tidak terautentikasi — untuk mendapatkan akses awal. Agen LLM kemudian mengumpulkan dua set kredensial cloud dari file lingkungan, memutarnya kembali di seluruh 11 IP egress Cloudflare Workers yang berbeda (mengalahkan deteksi per-IP) untuk mengambil kunci privat SSH dari AWS Secrets Manager, membuka delapan sesi SSH paralel terhadap host bastion hilir, dan mengeksfiltrasi seluruh konten enam tabel database PostgreSQL dalam 113 detik. Rantai end-to-end selesai dalam waktu sekitar satu jam. Penanda forensik yang membedakan eksekusi berbasis agen dari eksekusi skrip mencakup: enumerasi skema improvisasi terhadap database yang tidak diketahui, komentar perencanaan bahasa alami dalam aliran perintah ('看还能做什么' — 'lihat apa lagi yang bisa kita lakukan'), pemformatan perintah yang dioptimalkan mesin, dan penggabungan alat adaptif real-time dari keluaran alat.

Koneksi WebSocket yang tidak terautentikasi ke endpoint Marimo /terminal/ws yang terekspos di internet menyediakan shell interaktif. Agen LLM kemudian membaca file lingkungan untuk kredensial, menyebarkan panggilan API di seluruh node egress Cloudflare Workers untuk mengalahkan deteksi berbasis IP, mengambil rahasia cloud, dan melakukan pergerakan lateral melalui SSH — semua tanpa playbook yang sudah ditata. Agen beradaptasi pada setiap langkah berdasarkan keluaran perintah daripada mengikuti skrip tetap.

Server notebook reaktif Marimo Python versi 0.20.4 dan lebih awal (diperbaiki dalam Marimo 0.23.0). Lingkungan berisiko tinggi: notebook ML/data-science yang terpapar internet dengan kredensial cloud dalam file lingkungan atau rahasia yang dipasang. Juga memengaruhi organisasi apa pun yang menggunakan AWS Secrets Manager sebagai penyimpanan kredensial yang berdekatan dengan lingkungan notebook.

1) Tingkatkan ke Marimo 0.23.0 segera. 2) Hapus paparan internet terminal notebook; letakkan di belakang VPN atau bastion. 3) Audit cakupan kredensial cloud yang terlampir pada lingkungan notebook — hapus peran hak istimewa tinggi yang tidak diperlukan untuk tugas notebook. 4) Aktifkan peringatan AWS CloudTrail pada pola secretsmanager:GetSecretValue yang anomali (beberapa panggilan dari IP egress yang berputar dalam <30 detik). 5) Tinjau kemampuan deteksi: peringatan per-IP tidak cukup terhadap egress terdistribusi; beralih ke baseline perilaku pada tingkat panggilan API dan konkurensi sesi SSH.