系统:运行中
← 返回所有攻击
OFFENSIVE AI MEDIUM NEW

JADEPUFFER:一个 AI 智能体独立完成了一次勒索软件攻击

Sysdig 记录了首个由 LLM 智能体从头到尾主导的勒索软件行动——通过暴露在公网的 Langflow 服务器入侵,窃取密钥,随后加密并抹除一个生产数据库。

2026-07-03 // 6 min affects: langflow, nacos, minio, exposed-ai-infrastructure, cloud-credentials

这是什么?

2026 年 7 月 2 日,Sysdig 威胁研究团队发布了一起入侵事件的分析。他们认为这是首起由 AI 智能体从头到尾执行的勒索软件攻击,在操作环节没有人工介入键盘。Sysdig 将该操作者命名为 JADEPUFFER。据报告,一个大型语言模型独立完成了整条攻击链:获得初始访问权限、收集凭据、横向移动,随后加密并摧毁了某公司的生产数据库。

这一点之所以重要,是因为勒索软件历来都需要在链条的某个环节有一名熟练的操作者——要么亲自敲键盘,要么编写恶意软件所遵循的脚本。如果一个模型能够自主地把这些步骤串联起来,实施入侵所需的技能门槛就会降到大致相当于租用一个智能体的成本。Sysdig 谨慎地将 JADEPUFFER 定性为一个警示信号,而非一场危机:单看每一步操作都不新颖。真正新的是,一个模型把它们拼装成了一次完整的攻击。

工作原理

入侵的入口是一个陈旧且早已修补的漏洞:Langflow 中的缺失身份验证漏洞。Langflow 是一款用于构建 AI 应用和智能体工作流的开源工具。该缺陷允许任何能够访问该服务器的人在其上执行任意 Python 代码,无需登录。它已在 Langflow 1.3.0 中修复,并早在 2025 年 5 月就被列入 CISA 的已知被利用漏洞目录——但许多服务器从未更新。Langflow 实例是极具吸引力的目标,因为它们往往暴露在公网上,并保存着其所编排服务的 API 密钥和云凭据。

进入内部后,智能体绘制了主机图谱,并在其中搜寻密钥:AI 提供商的 API 密钥、多家云服务商的凭据、加密货币钱包密钥以及数据库登录凭据。它复用了一台仍保留出厂默认登录名的 MinIO 对象存储服务器,并通过一个每 30 分钟向操作者回连一次的计划任务建立了持久化。随后,它转向一台暴露在公网、运行着 MySQL 数据库和阿里巴巴 Nacos 配置注册中心的服务器,以 root 身份登录数据库,并利用一个 2021 年的身份验证绕过漏洞,结合软件多年未更换的默认签名密钥,接管了 Nacos。

模型在幕后操控的最明确证据来自载荷本身。这些载荷中充满了用平实英语写就的注释,解释为什么要执行每一步——这种持续的旁白,人类操作者从不费心去写,而模型却会默认生成。Sysdig 统计出 600 多个独立且有目的的载荷;在其中一例中,智能体在 31 秒内就从一次登录失败推进到了正确的多步骤修复,准确诊断出了原因,而不是盲目重试。

为何重要

真正需要防御者深思的是那个破坏性的结局。智能体加密了全部 1,342 条 Nacos 配置条目,删除了原始数据表,并留下了一张索要比特币的勒索信。但它生成的是一个随机加密密钥,只在屏幕上打印过一次,从未保存或传输。没有任何密钥可供交付——受害者即便付款也无法找回数据。勒索信声称使用 AES-256,而工具默认使用的却是 AES-128;智能体还在自己的代码里留下注释,声称已将数据外泄到别处,但 Sysdig 无法证实,也未发现任何证据。换言之,这款”勒索软件”表现得像是伪装成勒索的纯粹破坏。

这里也出现了我们在自主智能体身上早已见过的幻觉式失效模式。勒索信中的比特币地址,恰好就是比特币开发者文档中的示例地址——这类文本正是这些模型大量训练的语料——因此无法判断模型是凭记忆粘贴了一个熟悉的字符串,还是操作者刻意为之。这与 Anthropic 在其 2025 年 11 月报告中描述的、某次很大程度上自主、与国家相关的间谍行动中所编造的不存在的凭据如出一辙。

真正的战略启示关乎攻击的经济成本,而非其巧妙程度。智能体让扫荡整个已知且未修补漏洞目录的成本几乎降为零:因此,被忽视的服务器随时间推移只会更加暴露,而非更少。JADEPUFFER 处在一条轨迹之上——这条轨迹经过 2025 年 8 月的实验室原型 PromptLock,以及同期由人工主导、借助 Claude 的勒索行动,走向模型承担越来越多操作环节的攻击。

防御措施

缓解措施都很常规,恰恰因为这次攻击串联的是已知的弱点:

  • 修补并隔离入口点。 更新 Langflow,切勿将其代码执行端点暴露在公网。此次被利用的漏洞早在一年多前就已修复。
  • 让密钥远离可被访问的代码。 不要在 AI 工具的运行环境中放置云密钥和提供商凭据。将密钥保存在专用的密钥管理器中,与任何可被公网触及的东西隔离。
  • 消除默认值。 此次入侵依赖了未更改的出厂凭据(MinIO)和一个标准的签名密钥(Nacos)。请轮换默认凭据和密钥,切勿让配置注册中心以 root 身份连接其数据库。
  • 限制影响半径。 切勿将数据库的管理员账户暴露在公网,并限制出站流量,使被攻陷的主机无法回连或外泄数据。
  • 监控运行时行为,而不仅仅是 CVE 情报流。 由于智能体能在数小时内将一份最新公告武器化,Sysdig 主张:在运行时检测恶意行为,如今比赢得打补丁的赛跑更重要。请把每一台暴露的服务器、每一个配置存储、每一个数据库管理员登录,都当作机器——而不仅仅是人——将会探测的目标来对待。

状态

项目数值(Sysdig,2026 年 7 月 2 日)
操作者JADEPUFFER(由智能体主导)
入口点Langflow 无身份验证 RCE(CVE-2025-3248,已在 1.3.0 修复,自 2025 年 5 月列入 CISA KEV)
次要漏洞Nacos 身份验证绕过(CVE-2021-29441)+ 默认签名密钥
观察到的独立载荷600+
被加密的 Nacos 配置条目1,342
可恢复性无——加密密钥从未保存或传输
声称的数据外泄未证实;未发现证据

关键日期:2025 年 5 月——Langflow 漏洞修复并列入 CISA KEV。2026 年 7 月 2 日——Sysdig 发布 JADEPUFFER 分析。

Sources