攻击者在Marimo笔记本中利用CVE-2026-39987漏洞，LLM Agent自主完成4次横向移动与数据库窃取，标志着AI从“工具”转向“自主操作员”

网络安全公司Sysdig于近日披露一起具有里程碑意义的真实攻击事件：一名攻击者利用大语言模型代理（LLM Agent）执行了完整的后利用阶段——从漏洞利用到数据库窃取全程AI自主操作，没有人类在每一步之间输入命令。这是全球首次被确认和完整记录的真实AI代理驱动型网络入侵事件。

该攻击始于2026年5月10日18时23分44秒（UTC），一场关于网络安全攻防格局的性质转变就此悄然发生。

本次攻击的起点是一个名为Marimo的开源Python笔记本平台，该平台广泛应用于数据科学团队、机器学习工程师和AI研究者，通常配置有数据库连接、API密钥、云凭据以及可访问内部数据集的能力。

攻击者利用了编号为CVE-2026-39987的关键预认证远程代码执行漏洞。该漏洞存在于Marimo的终端WebSocket端点/terminal/ws——一个单一的WebSocket请求即可产生一个完全交互的命令行终端，无需任何凭证，无需用户交互，无需任何专业工具。该漏洞的CVSS评分为9.3分（满分10分），已于漏洞披露后9小时41分钟内被首次成功利用。Marimo维护方已在版本0.23.0中完成修补。

然而这一次不同的地方在于：取得初始访问权限后，一个LLM代理接管了全部后续操作。

Sysdig威胁研究团队（TRT）通过对所记录的命令流进行分析后确认，攻击阶段由LLM代理实时驱动，而非遵循预设脚本。全攻击链——从Marimo笔记本被攻破到内部PostgreSQL数据库被完整窃取——在一小时以内跑完了所有环节。其中，SSH堡垒机阶段的最后一步——数据库模式和内容的完整窃取——耗时不超过两分钟。

攻击过程分为四个步骤：

第一步：初始访问。 攻击者利用CVE-2026-39987漏洞攻陷一个暴露在互联网上的Marimo笔记本，获得远程shell访问权限。与传统攻击中由人类操作员接手后续步骤不同的是，攻击方在此将控制权转交给一个LLM代理——一套能够实时分析环境、制定下一步行动并执行命令的AI系统。

第二步：云凭据窃取。 LLM代理立即启动了侦察行为。它从被攻陷主机的环境变量、配置文件和元数据端点中提取了两个云凭据。Sysdig分析显示，代理发出的是有针对性的命令，而非运行批量枚举脚本——这是AI驱动行为的关键标志。

第三步：从AWS Secrets Manager获取SSH私钥。 获取云凭据后，代理调用AWS Secrets Manager API检索SSH私钥。关键之处在于，代理使用了一个分散式出口池——12次云API调用在22秒内跨越11个不同IP地址，利用了Cloudflare Workers作为分布式出口节点。这种分布式方法彻底破坏了基于IP的传统告警系统。

第四步：通过SSH堡垒机完成数据库窃取。 代理开启8个并行SSH会话穿透堡垒机服务器，转储了主机配置以及一个内部PostgreSQL数据库的完整内容。从首次SSH连接到完整数据窃取完成，仅用了不到两分钟。