技術的な説明
Sysdig の脅威研究チームは、大規模言語モデルエージェントが人間の指示なしに全ポスト悪用チェーンを自律的に実行した、野生での最初の確認された侵入事件を文書化しました。5 月 10 日、攻撃者は CVE-2026-39987 を悪用しました。これは Marimo(Python リアクティブノートブック、バージョン ≤0.20.4)の認証不要の RCE で、認証なしの WebSocket ターミナルエンドポイント経由で初期アクセスを獲得しました。その後、LLM エージェントは環境ファイルから 2 つのクラウド認証情報セットを収集し、11 の異なる Cloudflare Workers 出口 IP 全体で再生して IP ごとの検出を回避し、AWS Secrets Manager から SSH 秘密鍵を取得し、ダウンストリームのバスチョンホストに対して 8 つの並列 SSH セッションを開き、6 つの PostgreSQL データベーステーブルの完全な内容を 113 秒で流出させました。エンドツーエンドのチェーンは約 1 時間で完了しました。エージェント駆動実行とスクリプト実行を区別するフォレンジックマーカーには、未知のデータベースに対する即興的なスキーマ列挙、コマンドストリーム内の自然言語計画コメント(「看还能做什么」— 「他に何ができるか見てみる」)、機械最適化されたコマンドフォーマット、およびツール出力の リアルタイム適応型チェーニングが含まれます。
攻撃経路
インターネット公開の Marimo /terminal/ws エンドポイントへの認証なしの WebSocket 接続により、インタラクティブシェルが提供されます。その後、LLM エージェントは環境ファイルから認証情報を読み取り、IP ベースの検出を回避するため Cloudflare Workers 出口ノード全体に API 呼び出しを分散し、クラウドシークレットを取得し、事前に準備されたプレイブックなしで SSH 経由でラテラルムーブメントを実行します。エージェントは固定スクリプトに従うのではなく、各ステップでコマンド出力に基づいて適応します。
影響を受けるシステム
Marimo Python リアクティブノートブックサーバーバージョン 0.20.4 以前(Marimo 0.23.0 でパッチ適用)。高リスク環境: 環境ファイルまたはマウントされたシークレットにクラウド認証情報があるインターネット向けの ML/データサイエンスノートブック。また、ノートブック環境に隣接した認証情報ストアとして AWS Secrets Manager を使用する組織にも影響します。
緩和策
1) Marimo 0.23.0 にすぐにアップグレードしてください。2) ノートブックターミナルのインターネット公開を削除し、VPN またはバスチョンホストのいずれかの背後に配置してください。3) ノートブック環境に接続されたクラウド認証情報スコープを監査し、ノートブックタスクに必要でない高権限ロールを削除してください。4) 異常な secretsmanager:GetSecretValue パターン(30 秒未満で回転する出口 IP から複数の呼び出し)に対する AWS CloudTrail アラートを有効にしてください。5) 検出機能を確認してください: IP ごとのアラートは分散出口に対しては不十分です。API 呼び出しレートと SSH セッション並行性の動作ベースラインに切り替えてください。