一种新型网络攻击正在改变防御者对入侵检测的认知。2026年5月10日，某威胁行为者利用大型语言模型(LLM)Agent驱动了完整的攻击链，从暴露的notebook服务器入手，最终在不到两分钟内成功窃取内部数据库。

这并非预先编写脚本的攻击。所有命令都是实时生成的，根据目标系统的反馈动态调整每个步骤。攻击入口点是一个暴露在互联网上、存在漏洞的marimo notebook。攻击者利用CVE-2026-39987漏洞，该漏洞允许在任何未打补丁的marimo服务器上通过单个WebSocket请求获取shell权限。

攻击者从环境文件和AWS凭证存储中获取云凭证，随后利用这些凭证从AWS Secrets Manager检索SSH私钥。该密钥被用于对下游堡垒服务器建立8个并行SSH会话，最终完整窃取了内部PostgreSQL数据库。

Sysdig公司的威胁研究团队(TRT)捕获了此次入侵，并将其描述为他们记录的首个由AI Agent驱动的入侵事件。Sysdig在与网络安全新闻(CSN)分享的报告中表示，整个攻击链端到端运行时间不到一小时。高级总监Michael Clark直言："我们不是在见证AI取代攻击者，而是在见证攻击者用AI取代他们的脚本。"

此次攻击最显著的特点是流量路由方式以规避检测。攻击者在短短22秒内通过11个不同的Cloudflare Workers IP地址分发12个AWS API调用，成功绕过云防御系统依赖的基于源IP的关联分析。在堡垒服务器攻击阶段，8个SSH会话同时来自6个独立IP。这种分布式方法完全打破了传统的基于IP的警报机制。

Sysdig TRT团队识别出四个表明攻击由LLM Agent驱动的特征：

Agent在没有预先了解数据库结构的情况下，通过枚举表并立即锁定一个在类似应用中不存在的凭证表，临时构建了数据库转储方案。这表明其基于通用知识而非预设情报进行推理。

命令流中出现中文规划注释"看看还能做什么"，这种在六个IP间以亚秒级速度分发的内部独白，既非人工输入也非静态脚本所能产生。

每个命令都采用结构化分隔符、输出限制和错误流丢弃等设计，专为机器解析优化，使Agent能够清晰读取每个结果。

各步骤间的数值传递方式：数据库密码来自刚读取的.pgpass文件；SSH密钥路径在确认文件存在后使用；AWS密钥ID在检索前20秒才从ListSecrets响应中选择。Agent实时将前一步输出作为下一步输入，全程无需人工干预。

最紧迫的影响是基于特征的检测方法正在失效。传统脚本攻击会留下可重复指纹(如相同命令顺序或探测序列)，而LLM Agent会为每个目标重写攻击方法，使静态规则的可靠性降低。检测重点必须转向攻击者实现的目标(如凭证访问或数据库窃取)，而非具体使用的命令。

Sysdig建议立即将marimo升级至0.23.0或更高版本。如无法升级，应限制对/terminal/ws端点的访问或禁用终端功能。所有可公开访问的marimo实例都应视为可能已遭入侵，相关凭证、API密钥、SSH密钥和数据库密码都应轮换。CVE-2026-39987已被列入CISA已知被利用漏洞目录，其联邦修复期限已过。

组织应启用全网络深度遥测，部署能够标记基于行为模式的运行时威胁检测系统。LLM驱动的攻击者不再需要预先探测环境即可实施攻击。速度、适应性和分布式出口已成为威胁的标准特征。

注：IP地址和域名已进行无害化处理（如使用[.]），以防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。