Se ha observado a un actor de amenazas desconocido utilizando un agente de modelo de lenguaje grande (LLM) para realizar acciones posteriores a la intrusión después de obtener acceso inicial tras la explotación de una red Marimo accesible públicamente utilizando una vulnerabilidad revelada recientemente.  "El atacante comprometió un notebook Marimo alcanzable desde Internet a través de CVE-2026-39987, extrajo dos credenciales de la nube del host comprometido, las reprodujo a través de un pool de egreso disperso para recuperar una clave privada SSH de **AWS Secrets Manager**, y usó esa clave para realizar ocho sesiones SSH cortas contra un servidor bastión SSH descendente", dijo **Sysdig** [aquí](https://www.sysdig.com/blog/ai-agent-at-the-wheel-how-an-attacker-used-llms-to-move-from-a-cve-to-an-internal-database-in-4-pivots). "La fase de bastión exfiltró el esquema y el contenido completo de una base de datos interna de PostgreSQL en menos de dos minutos." ### CVE-2026-39987: Una Vulnerabilidad Crítica de RCE **CVE-2026-39987** se refiere a una vulnerabilidad crítica de ejecución remota de código pre-autenticada que afecta a todas las versiones de Marimo anteriores e incluyendo la 0.20.4. Permite a un atacante no autenticado ejecutar comandos arbitrarios del sistema. El problema se abordó en la versión 0.23.0, lanzada el mes pasado. Desde entonces, el defecto de seguridad ha sido objeto de explotación activa, con actores de amenazas utilizándolo para iniciar reconocimiento manual contra sistemas honeypot e intentar cosechar datos sensibles. ### Agente LLM Automatiza la Post-Explotación La última actividad documentada por Sysdig sigue el mismo patrón, siendo la principal diferencia que se utilizó un agente LLM para dirigir la actividad posterior a la intrusión. El incidente, según la firma de seguridad en la nube, se registró el 10 de mayo de 2026, y el atacante recopiló credenciales del entorno y luego utilizó la clave de acceso de AWS cosechada para realizar llamadas API contra AWS Secrets Manager y recuperar una clave privada SSH. Minutos después, se dice que el actor de amenazas llevó a cabo la primera autenticación SSH en el servidor bastión SSH utilizando la clave recuperada, seguida del lanzamiento de ocho sesiones SSH paralelas contra el servidor descendente para sustraer una base de datos interna de PostgreSQL. La cadena de ataque de extremo a extremo duró poco más de una hora.  ### Indicadores de Participación de LLM Sysdig dijo que descubrió cuatro indicadores de que un agente LLM estaba detrás de la actividad: 1. El atacante improvisó un volcado de base de datos sin conocimiento previo del esquema. 2. Un comentario de planificación en idioma chino, "看还能做什么" que se traduce como "Mira qué más podemos hacer", se filtró directamente en el flujo de comandos al ejecutar una búsqueda de credenciales. "El nombre de host de la base de datos era opaco, sin identificador de aplicación en disco ni volcado de esquema pre-cargado, sin embargo, la cadena aún aterrizó en una tabla de credenciales en minutos", dijo Sysdig. "El atacante ya no necesita ver su entorno para operar dentro de él." 3. Cada comando está diseñado para consumo por máquina, con cada comando separado por un delimitador "---", junto con capturas de salida delimitadas, deshabilitando el comando "less" y descartando el flujo de error (stderr) para minimizar el ruido. 4. Los traspasos de valores se obtienen de la salida de herramientas anteriores. En otras palabras, la forma en que se extrajeron ciertos valores, digamos, contraseñas de bases de datos, implica que un agente de IA alimentó su propia salida anterior, ejecutando un comando `cat` del archivo `~/.pgpass`, en la siguiente acción. En otro caso, un comando `cat` para imprimir el contenido de un archivo específico (`cat ~/.ssh/id_ed25519`) es precedido por un comando `ls` (listar) que pasa el mismo patrón de archivo como entrada (`ls -la ~/.ssh/id_ed25519*`) para confirmar que la clave SSH existe. ### Implicaciones para los Defensores "Cuando un operador con guion crea un playbook por objetivo y lo reutiliza, la barra para agregar un nuevo objetivo es el tiempo de ingeniería", concluyó Sysdig. "Sin embargo, un operador agente tiene conocimientos generales sobre una clase de aplicaciones y compone la cadena en vivo para que se ajuste mejor a su objetivo. Aquí, la barra se convierte en presupuesto de inferencia, no en autoría de playbooks." "La propiedad relevante para el defensor de un agente en el bucle es la adaptabilidad. Un atacante con guion se encuentra con un archivo faltante, un esquema inesperado o un error de autenticación y aborta o cae en un respaldo codificado. Un agente lee la sorpresa, decide qué intentar a continuación y sigue adelante." ### Recomendaciones Para contrarrestar esta amenaza, se recomienda a los usuarios que actualicen a la última versión de Marimo, auditen sus entornos en busca de instancias accesibles públicamente y roten credenciales, claves API y claves SSH.