Sysdigの脅威調査チーム(TRT)は、大規模言語モデル(LLM)エージェントが人間の指示なしに初期侵入から内部データベースの窃取まで全攻撃チェーンを約60分で自律実行した「世界初の実戦事例」を記録・公開しました。2026年5月10日に観測されたこの攻撃は、オープンソースのPythonノートブック基盤「Marimo」の未修正脆弱性CVE-2026-39987(認証不要のリモートコード実行)を突破口に始まり、4回のピボット(横展開)を経てPostgreSQLデータベースの完全流出に至っています。
Sysdigの公式ブログによると、攻撃者はMarimoの脆弱なサーバーへの初期侵入後、盗取したAWS認証情報をそのままLLMエージェントに渡しました。エージェントは以降の判断を自律的に行い、AWSシークレットマネージャーからSSH鍵を取得、SSHバスチョンホストを経由して内部ネットワークに侵入し、最終的にPostgreSQLデータベースを丸ごと外部に持ち出しました。最後のピボットとなったSSHバスチョン突破だけで要した時間は2分未満です。攻撃過程で流出した推論コメントが中国語で記述されていたことも確認されており、攻撃インフラの帰属分析に活用できる新たな指標として注目されています。
Sysdigはこの事例を「攻撃者はスクリプトをAIに置き換え始めた」と総括しています。従来のサイバー攻撃では、スクリプト実行や判断の各ステップに人間のオペレーターが関与していました。しかしLLMエージェントを使えば、オペレーターはターゲットとなる初期の足場さえ確保すれば、後続の偵察・認証情報収集・横展開・データ窃取をモデルに委任できます。Security Magazineによると、この変化はシグネチャベースの従来型検知ツールを実質的に無力化する可能性があります。
r/netsecでは「対応時間が分単位に圧縮された。人間のSOCチームでは太刀打ちできない」という意見が活発に議論されており、AI対AIの防衛戦略に関するスレッドが急上昇しています。X上では「従来のシグネチャ検知が完全に無効化される時代が来た」との警戒投稿が相次ぎました。Hacker Newsでは流出した中国語の推論コメントに着目した議論が活発化し、「これがAIによる攻撃の帰属を証明する新たなフォレンジック手法になり得る」という視点が注目を集めています。
Sysdigの今回の記録が持つ意義は、LLMを使った自律型攻撃が「理論上の脅威」から「実際に観測可能な現実」へ移行したことを示した点にあります。防衛側もAIを活用したリアルタイム異常検知・自動対応の導入を加速させなければ、攻撃者との速度差がさらに拡大するというのがセキュリティコミュニティの共通認識になりつつあります。