未知の攻撃者が、最近開示された脆弱性を利用して公開されているMarimoネットワークへの初期アクセスを取得した後、侵害後活動を実行するために大規模言語モデル（LLM）エージェントを使用していることが確認されました。  「攻撃者はCVE-2026-39987を通じてインターネットから到達可能なMarimoノートブックを侵害し、侵害されたホストから2つのクラウド認証情報を抽出し、それらをファンアウトされたエグレスプール経由でリプレイしてAWS Secrets ManagerからSSH秘密鍵を取得し、その鍵を使用して下流のSSHバステーションサーバーに対して8回の短いSSHセッションを実行しました」とSysdigは述べています[こちら](https://www.sysdig.com/blog/ai-agent-at-the-wheel-how-an-attacker-used-llms-to-move-from-a-cve-to-an-internal-database-in-4-pivots)。 「バステーションフェーズでは、2分未満で内部PostgreSQLデータベースのスキーマと全内容を流出させました。」 ### CVE-2026-39987：重大なRCE脆弱性 **CVE-2026-39987**は、Marimoのバージョン0.20.4以前およびそれを含むすべてのバージョンに影響を与える、認証不要の重大なリモートコード実行脆弱性を指します。これにより、認証されていない攻撃者が任意のシステムコマンドを実行できます。この問題は、先月リリースされたバージョン0.23.0で修正されました。 このセキュリティ上の欠陥はすでに活発に悪用されており、攻撃者はこれを利用してハニーポットシステムに対する手動偵察を開始し、機密データを収集しようとしています。 ### LLMエージェントが侵害後活動を自動化 Sysdigが文書化した最新の活動は、同じパターンに従っていますが、主な違いはLLMエージェントが侵害後活動を駆動するために使用されたことです。クラウドセキュリティ企業によると、このインシデントは2026年5月10日に記録され、攻撃者は環境から認証情報を収集し、収集したAWSアクセスキーを使用してAWS Secrets Managerに対してAPIコールを実行し、SSH秘密鍵を取得しました。 数分後、攻撃者は取得した鍵を使用してSSHバステーションサーバーで最初のSSH認証を実行し、その後、下流サーバーに対して8つの並列SSHセッションを開始して内部PostgreSQLデータベースを吸い上げたとされています。エンドツーエンドの攻撃チェーンは1時間強で完了しました。  ### LLMの関与を示す兆候 Sysdigは、LLMエージェントがこの活動の背後にあったことを示す4つの兆候を発見したと述べています。 1. 攻撃者は、スキーマに関する事前の知識なしにデータベースダンプを即興で作成しました。 2. 「看还能做什么」（「他に何ができるか見てみよう」）という意味の中国語の計画コメントが、認証情報検索を実行する際にコマンドストリームに直接漏洩しました。 「データベースのホスト名は不透明で、ディスク上にアプリケーション識別子はなく、スキーマダンプも事前にステージングされていませんでしたが、チェーンは数分以内に認証情報テーブルに着地しました」とSysdigは述べています。「攻撃者はもはや、あなたの環境内で操作するためにあなたの環境を見る必要はありません。」 3. すべてのコマンドは機械が消費できるように設計されており、各コマンドは「---」デリミタで区切られ、出力キャプチャが制限され、「less」コマンドが無効化され、エラー ストリーム（stderr）が破棄されてノイズが最小限に抑えられています。 4. 値の引き渡しは、以前のツールの出力から取得されます。つまり、データベースパスワードなどの特定の値が抽出された方法は、AIエージェントが以前の出力を自身にフィードしていることを示唆しています（「~/.pgpass」ファイルの内容を表示するcatコマンドを実行し、それを次のアクションに渡しています）。 別の例では、特定のファイルの内容を表示するcatコマンド（「cat ~/.ssh/id_ed25519」）の前に、SSHキーが存在することを確認するために同じファイルパターンを入力として渡すlsコマンド（「ls -la ~/.ssh/id_ed25519*」）が実行されています。 ### 防御者への影響 「スクリプト化されたオペレーターがターゲットごとのプレイブックを作成して再利用する場合、新しいターゲットを追加する際のハードルはエンジニアリング時間です」とSysdigは結論付けています。「しかし、エージェントオペレーターは、アプリケーションのクラスに関する一般的な事前知識を持ち、ターゲットに最適に適合するようにライブでチェーンを構成します。ここでは、ハードルはプレイブックの作成ではなく、推論予算になります。」 「エージェント・イン・ザ・ループの防御者関連の特性は適応性です。スクリプト化された攻撃者は、ファイルが見つからない、スキーマが予期しない、または認証に失敗した場合、中止するか、ハードコードされたフォールバックに移行します。エージェントは、予期せぬ事態を読み取り、次に何を試すかを決定し、続行します。」 ### 推奨事項 この脅威に対抗するために、ユーザーはMarimoの最新バージョンに更新し、公開されているインスタンスがないか環境を監査し、認証情報、APIキー、SSHキーをローテーションすることが推奨されます。