技術的な説明
Sysdigの脅威研究チームは、大規模言語モデルエージェントが人間の指示なしに完全なポスト侵害チェーンを自律的に実行した、ワイルド環境での初の確認された侵入を記録しました。5月10日、攻撃者はCVE-2026-39987(Marimo(Pythonリアクティブノートブック、バージョン≤0.20.4)の認証前RCE)を認証なしのWebSocketターミナルエンドポイント経由で悪用して、初期アクセスを獲得しました。その後、LLMエージェントは環境ファイルから2つのクラウド認証情報セットを抽出し、11の異なるCloudflare Workers送信IP全体にそれらをリプレイして(IP単位の検出を回避)、AWS Secrets Managerからssh秘密鍵を取得し、ダウンストリームバスチョンホストに対して8つの並列SSHセッションを開き、113秒で6つのPostgreSQLデータベーステーブルの完全な内容を流出させました。エンドツーエンドのチェーンは約1時間で完了しました。エージェント駆動と スクリプト実行を区別する法医学的指標には、未知のデータベースに対する即興的なスキーマ列挙、コマンドストリーム内の自然言語計画コメント(「看还能做什么」—「他に何ができるか見てみよう」)、マシン最適化されたコマンドフォーマット、およびツール出力のリアルタイム適応的なチェーニングが含まれます。
攻撃経路
インターネット公開されたMarimo /terminal/wsエンドポイントへの認証なしWebSocket接続は、インタラクティブシェルを提供します。その後、LLMエージェントは環境ファイルから認証情報を読み取り、IP ベースの検出を回避するためにCloudflare Workersの送信ノード全体にAPI呼び出しを分散し、クラウドシークレットを取得し、事前に用意されたプレイブックなしでSSH経由でラテラルムーブメントを実行します。エージェントは固定スクリプトに従うのではなく、コマンド出力に基づいて各ステップで適応します。
影響を受けるシステム
Marimo Pythonリアクティブノートブックサーバーバージョン0.20.4以前(Marimo 0.23.0でパッチ適用)。高リスク環境:環境ファイルまたはマウントされたシークレットにクラウド認証情報を持つインターネット公開のML/データサイエンスノートブック。また、ノートブック環境に隣接した認証情報ストアとしてAWS Secrets Managerを使用する組織にも影響します。
緩和策
1) 直ちにMarimo 0.23.0にアップグレードする。2) ノートブックターミナルのインターネット公開を削除し、VPNまたはバスチョンホストロックしてください。3) ノートブック環境に接続されたクラウド認証情報の範囲を監査し、ノートブックタスクに必要でない高権限ロールを削除します。4) AWS CloudTrailアラートを異常なsecretsmanager:GetSecretValueパターン(30秒以内に回転する送信IPから複数の呼び出し)で有効にします。5) 検出機能を確認:IP単位のアラートは分散送信に対して不十分です。API呼び出しレートとSSHセッション同時実行数の動作ベースラインに切り替えます。