Sysdig documenta primer ataque autónomo por agente de IA: CVE-2026-39987 en Marimo expuesto en 4 pivotes

El Sysdig Threat Research Team (TRT) publicó este jueves el informe de un incidente que describe cómo la primera intrusión autónoma conducida por un agente de LLM jamás registrada por el equipo: a partir de una vulnerabilidad crítica de ejecución remota de código sin autenticación en Marimo, un atacante desconocido alcanzó una base de datos PostgreSQL interna en cuatro pivotes consecutivos, completando el ciclo en menos de una hora. El Sysdig TRT no identificó públicamente la organización en cuyo entorno se detectó el ataque.

CVE-2026-39987: CVSS 9.3, autenticación completamente ausente

La CVE-2026-39987, atribuida por el GitHub Security Lab con una puntuación CVSS v4.0 de 9.3, reside en el endpoint WebSocket /terminal/ws de Marimo. Mientras que otros endpoints del framework llaman a validate_auth() correctamente, /terminal/ws valida solo el modo de ejecución y la compatibilidad de la plataforma, ignorando completamente la autenticación. Una única solicitud HTTP no autenticada concede un shell PTY completo. Todas las versiones hasta e incluyendo la 0.20.4 son vulnerables; la corrección está disponible en la versión 0.23.0, lanzada en abril. La vulnerabilidad fue explotada por primera vez en menos de 10 horas después de la publicación del aviso el 8 de abril de 2026 (GHSA-2679-6mx9-h9xc), y la CISA agregó el CVE al catálogo KEV el 23 de abril, con plazo de remediación hasta el 7 de mayo para agencias federales de EE. UU.

Los cuatro pivotes documentados

El incidente fue capturado el 10 de mayo de 2026 por los sensores del Sysdig TRT. El atacante siguió la siguiente cadena: comprometió un notebook Marimo accesible a través de internet por la CVE-2026-39987, obteniendo un shell inmediato; extrajo dos pares de credenciales de nube del proceso comprometido; consultó AWS Secrets Manager usando las claves de AWS para recuperar una clave SSH privada, a través de un pool de salida en IPs distintos; y abrió ocho sesiones SSH breves contra un servidor bastion downstream. En la fase del bastión, el esquema completo y el contenido de una base de datos PostgreSQL interna fueron exfiltrados en menos de dos minutos. La cadena completa tardó menos de una hora.

Cuatro indicadores que identificaron al agente de IA

El agente realizó un volcado de la base de datos sin ningún conocimiento previo del esquema, enumerando tablas y dirigiéndose inmediatamente a una tabla de credenciales ausente en la aplicación cuyo esquema se asemejaba, lo que el Sysdig TRT interpreta como razonamiento de conocimiento general en tiempo real, no inteligencia pre-recolectada. Un comentario interno en chino, "看还能做什么" (traducido: "veamos qué más podemos hacer"), se filtró directamente en el flujo de comandos y fue despachado por seis IPs diferentes en cadencia de submilisegundo, una cadencia imposible para un operador humano. Cada comando fue construido para consumo por máquina: separadores "---", captura limitada de salida y descarte sistemático del stderr para minimizar el ruido de análisis. La contraseña de la base de datos se leyó del archivo .pgpass momentos antes de ser utilizada, confirmando que el agente razona sobre el flujo de valor entre etapas, no ejecuta lógica preescrita.

Superficie de riesgo en pipelines de MLOps corporativos

Marimo es adoptado como sustituto reactivo a Jupyter en pipelines corporativos de ciencia de datos. La exposición inadvertida a internet ocurre en despliegues de MLOps sobre Kubernetes con servicios del tipo LoadBalancer público, configuración documentada en entornos de desarrollo de modelos en los sectores financiero y de telecomunicaciones.

En los centros de entrega de India, donde TCS, Infosys y Wipro operan decenas de miles de ingenieros de datos en clústeres de nube compartidos, un notebook Marimo expuesto puede funcionar como entrada para credenciales de producción de clientes corporativos. La dependencia de AWS Secrets Manager como repositorio de secretos de acceso privilegiado, adoptada ampliamente en esos entornos, aparece explícitamente en la cadena de ataque documentada por el Sysdig TRT.

En Europa, donde el GDPR exige notificación de incidentes en hasta 72 horas después de la toma de conocimiento del controlador, los entornos de MLOps ejecutando Marimo en versiones afectadas (0.20.4 y anteriores) representan un riesgo regulatorio directo para firmas como Capgemini Engineering y equipos de datos en bancos como Deutsche Bank e ING, que mantienen centros de ML en Polonia, Alemania y Países Bajos.

Acciones inmediatas

El Sysdig TRT recomienda actualizar a Marimo 0.23.0 o superior, auditar instancias accesibles externamente, rotar todas las credenciales de nube y claves SSH en entornos que ejecutaron versiones afectadas, y bloquear egreso de red en clústeres de notebook hacia endpoints necesarios.

Lo que el incidente demarca no es simplemente la velocidad del ataque, sino la capacidad del agente de razonar adaptativamente sobre un entorno completamente desconocido: sin scripts preescritos, sin inteligencia previa, solo inferencia en tiempo real sobre cada pivote. Este nivel de autonomía operacional reduce el costo de ingreso de un atacante que disponga de un modelo de lenguaje de frontera y de un CVE reciente.