2026年5月、Sysdig脅威リサーチチームは、人間ではなくLLM（大規模言語モデル）のハーネスにより駆動する「エージェント型脅威アクター（ATA）」による初のコンテナエスケープとKubernetes認証情報のリプレイを観測しました。

攻撃者は、脆弱なmarimoノートブックを悪用して侵入。JSON内の埋め込み指示や機械的なコマンドストリームの解析といったエージェント特有の挙動を示しながら、エスケープ可能な経路を並列で探索しました。マウントされたDockerソケットやnsenterを活用してホストrootへブレイクアウトし、秘密鍵やshadowファイルを窃取。さらに、マウントされていたKubernetesサービスアカウントトークンをAPIサーバーにリプレイすることで、クラスター全体のSecretストア（各種認証情報やAPIキー）をマシンスピードで一挙にダンプしました。

対策として、marimoの更新、Dockerソケットのマウント禁止、RBACの厳格化が強く推奨されています。