История звучит почти как начало технотриллера: злоумышленник взламывает сервер Marimo, а дальше часть действий выполняет не человек вручную, а LLM-агент, который прямо по ходу атаки рассуждает и подбирает следующие команды. Если убрать драму, остаётся неприятный факт: инструменты ИИ появляются не только у защитников, но и в реальных атакующих цепочках. И речь уже не о генерации фишингового письма или куска вредоносного кода — речь о постэксплуатации, том этапе, где атакующий закрепляется, ищет доступы и двигается дальше по инфраструктуре.

Точка входа — открытый терминал

Входной точкой стала уязвимость CVE-2026-39987 в Marimo — open-source Python notebook для интерактивной работы с кодом и данными. По данным Sysdig, проблема пряталась в endpoint `/terminal/ws`: он позволял получить доступ к терминалу без нормальной проверки аутентификации.

Уязвимость раскрыли 8 апреля 2026 года, а первые попытки эксплуатации исследователи заметили уже через 9 часов 41 минуту. Окно между публикацией бага и реальными атаками снова оказалось пугающе коротким. Опасность была не в самом факте существования notebook-сервера, а в том, что открытый наружу терминал стал готовой дверью внутрь системы.

LLM-агент в цепочке атаки

В более позднем инциденте исследователи Sysdig описали цепочку, где после первичного доступа атакующий использовал LLM-агента для дальнейшего движения. Агент анализировал вывод команд, выбирал следующие шаги и адаптировался к среде, а не просто запускал заранее написанный скрипт.

Цепочка включала несколько переходов: доступ к Marimo, поиск облачных учётных данных, обращение к AWS Secrets Manager, получение SSH-ключа, подключение к bastion-серверу и выгрузку данных из внутренней PostgreSQL-базы.

Важно понимать: за атакой всё равно стоит человек или группа. ИИ не «стал хакером сам по себе». Но LLM-агент ускорил и автоматизировал ту часть работы, которую раньше приходилось делать вручную.

Не просто скрипт

Автоматизация в атаках существовала давно: сканеры, ботнеты, exploit-киты, готовые playbook-сценарии. Новое здесь — способность агента действовать чуть более гибко: смотреть на ответ системы, делать вывод и выбирать следующую команду.

Это не магия и не разумная машина, но для защитников разница заметная. Когда атака идёт быстрее, менее предсказуемо и похожа не на один скрипт, а на серию адаптивных действий, её сложнее разбирать по привычным шаблонам.

«AI-агент в такой атаке не заменяет злоумышленника, а становится его ускорителем».

Проблема не в том, что ИИ внезапно захотел кого-то взломать. Проблема в том, что он снижает цену и время сложных действий после первичного доступа.

Почему именно Marimo

Notebook-серверы часто работают бок о бок с данными, экспериментами, ключами доступа и облачной инфраструктурой. В исследовательских, data science и ML-командах это обычный рабочий инструмент, но именно поэтому компрометация такого сервера может быстро перерасти из локальной проблемы в полноценный вход во внутренние системы.

Sysdig ранее уже фиксировала атаки на Marimo, в том числе попытки развёртывания вредоносного ПО через Hugging Face Spaces и использование варианта NKAbuse с blockchain-based C2. Это значит, что уязвимость мгновенно попала в поле зрения разных атакующих.

Для таких инструментов особенно опасна привычка «поднять временно и забыть»: временный notebook, открытый в интернет, легко превращается в постоянную брешь.

Что делать прямо сейчас

Самая очевидная мера — обновить Marimo до исправленной версии. По данным NVD, исправление доступно начиная с версии 0.23.0. Если обновиться сразу нельзя, нужно как минимум закрыть доступ к `/terminal/ws` извне и ограничить notebook-серверы внутренней сетью или VPN.

Также стоит проверить, какие ключи и секреты могли быть доступны на скомпрометированных машинах. Если notebook имел доступ к облачным credential-файлам, переменным окружения или менеджерам секретов, одной переустановкой сервера не обойтись — скомпрометированные учётные данные могли утечь.

И здесь полезно мыслить шире одного Marimo. Любой dev-инструмент с терминалом, API-доступом и облачными правами становится привлекательной целью, если он смотрит в интернет.

Эта история важна не тем, что «машины восстали». Гораздо неприятнее другое: AI-агенты начинают встраиваться в реальные операции злоумышленников как рабочий инструмент. Пока это не отменяет роли человека, но меняет скорость и стоимость атаки. Для компаний это означает, что защищать нужно не только продакшен-сервисы, но и вспомогательные среды разработки, аналитики и ML-экспериментов — всё, где лежат данные и ключи.

Инцидент с Marimo выглядит как ранний, но очень показательный пример новой нормы: атакующий получает вход, а дальше часть рутинной и исследовательской работы перекладывает на LLM-агента. Это не фантастика про самостоятельный ИИ, но и не обычный скрипт из прошлого десятилетия. Самый практичный вывод: всё, что имеет терминал, доступ к данным и торчит наружу, нужно считать потенциальной точкой входа. Особенно если рядом лежат облачные ключи, токены и секреты.