Eksploitasi Post-LLM-Agent di Liar Pertama Kali Dikonfirmasi: CVE-2026-39987 Marimo RCE hingga Eksfiltrasi Database Penuh dalam 4 Pivot

Tim Threat Research Sysdig mendokumentasikan intrusi di liar pertama kali yang dikonfirmasi di mana agen model bahasa besar secara otonomi menjalankan rantai post-eksploitasi lengkap tanpa arahan manusia. Pada 10 Mei, seorang penyerang memanfaatkan CVE-2026-39987 — RCE pra-autentikasi dalam Marimo (notebook reaktif Python, versi ≤0.20.4) melalui endpoint terminal WebSocket tanpa autentikasi — untuk mendapatkan akses awal. Agen LLM kemudian mengumpulkan dua set kredensial cloud dari file lingkungan, memutar ulang kredensial tersebut di 11 IP egress Cloudflare Workers yang berbeda (mengalahkan deteksi per-IP) untuk mengambil kunci privat SSH dari AWS Secrets Manager, membuka delapan sesi SSH paralel terhadap host bastion hilir, dan mengeksfiltrasi isi lengkap enam tabel database PostgreSQL dalam 113 detik. Rantai end-to-end selesai dalam sekitar satu jam. Penanda forensik yang membedakan eksekusi yang didorong agen dari eksekusi skrip meliputi: enumerasi skema yang diimprovasi terhadap database yang tidak dikenal, komentar perencanaan dalam bahasa alami dalam aliran perintah ('看还能做什么' — 'lihat apa lagi yang bisa kita lakukan'), pemformatan perintah yang dioptimalkan mesin, dan perantaian alat yang adaptif secara real-time berdasarkan output.

Koneksi WebSocket tanpa autentikasi ke endpoint /terminal/ws Marimo yang terpajan internet menyediakan shell interaktif. Agen LLM kemudian membaca file lingkungan untuk kredensial, menyebarkan panggilan API di seluruh node egress Cloudflare Workers untuk mengalahkan deteksi berbasis IP, mengambil rahasia cloud, dan melakukan pergerakan lateral melalui SSH — semuanya tanpa playbook yang disusun sebelumnya. Agen beradaptasi di setiap langkah berdasarkan output perintah daripada mengikuti skrip yang tetap.

Versi server notebook reaktif Python Marimo 0.20.4 dan lebih awal (diperbaiki dalam Marimo 0.23.0). Lingkungan berisiko tinggi: notebook ML/sains data yang terpajan internet dengan kredensial cloud dalam file lingkungan atau rahasia yang dipasang. Juga mempengaruhi organisasi apa pun yang menggunakan AWS Secrets Manager sebagai penyimpan kredensial yang berdekatan dengan lingkungan notebook.

1) Tingkatkan ke Marimo 0.23.0 segera. 2) Hapus paparan internet dari terminal notebook; tempatkan di belakang VPN atau bastion. 3) Audit cakupan kredensial cloud yang terlampir pada lingkungan notebook — hapus peran hak istimewa tinggi yang tidak diperlukan untuk tugas notebook. 4) Aktifkan peringatan AWS CloudTrail pada pola secretsmanager:GetSecretValue yang anomali (beberapa panggilan dari IP egress yang berputar dalam <30 detik). 5) Tinjau kemampuan deteksi: peringatan per-IP tidak cukup terhadap egress terdistribusi; beralih ke garis dasar perilaku pada tingkat panggilan API dan konkurensi sesi SSH.