Sysdig Threat Research Team は、LLM エージェントが post-exploitation を一手に担う実観測事例を初めて公表した。攻撃者は CVE-2026-39987 で公開 marimo ノートブックを侵害し、4 段のピボットを経て社内 PostgreSQL を 1 時間以内にダンプ。「攻撃者が AI に置き換わるのではなく、スクリプトを AI に置き換えている」と同社は警鐘を鳴らす。
主なポイント
- 入口はインターネット公開された未パッチ marimo (CVE-2026-39987 ⇒ 認証不要 RCE)
- ホストから cloud 資格情報を抽出 ⇒ AWS Secrets Manager で SSH 秘密鍵入手 ⇒ 8 並列 SSH で踏み台越え ⇒ 内部 Postgres を 2 分未満で全ダンプ
- スキーマ未知の DB から credential 系テーブルを即座に列挙、6 IP から sub-second 間隔で並列実行など、人手や静的スクリプトでは出ない挙動
- コマンドストリーム中に「他に何ができるか見てみよう」という中国語の計画コメントが混入
- 対策として marimo 0.23.0 以降への即時更新、または
/terminal/wsの遮断・terminal 機能無効化を Sysdig は推奨
出典: Attackers Use LLM Agent for Post-Exploitation After Marimo CVE-2026-39987 Exploit (The Hacker News)