网络安全
Sysdig研究人员发现首个完全由AI驱动的勒索软件攻击
Sysdig威胁研究团队发现一个名为JADEPUFFER的AI代理,利用未修补的Langflow漏洞入侵,窃取凭证,横向移动,并加密生产数据库。该攻击无需人工操作,引发了对勒索软件普及化的担忧。

安全公司Sysdig表示,它发现了首个据信由AI代理全程操控的勒索软件攻击。
其威胁研究团队将操作者称为JADEPUFFER,并称一个大语言模型处理了所有工作:入侵、窃取凭证、深入网络、然后加密并清除一家公司的生产数据库。
勒索软件以往总是需要在某个环节有熟练的人参与,无论是操作键盘还是编写恶意软件所遵循的脚本。如果模型能够自主串联这些步骤,那么发动攻击所需的技能就降到了租用一个AI代理的成本。
攻击如何展开
入侵途径是一个陈旧且已修补的漏洞。JADEPUFFER利用了CVE-2025-3248,这是Langflow中的一个缺失身份验证漏洞,Langflow是一款用于构建AI应用和代理工作流的开源工具。该漏洞允许任何能够访问服务器的人在无需登录的情况下运行自己的Python代码。
Langflow服务器是一个诱人的目标,因为它们通常暴露在互联网上,并且持有它们所连接服务的API密钥和云凭证。
该漏洞已在Langflow 1.3.0中修复,并于2025年5月被列入CISA的已知被利用漏洞列表,但许多服务器从未更新。甚至不是唯一以这种方式被攻击的Langflow漏洞。
一旦进入,代理行动迅速并清理了痕迹。它扫描了机器,然后搜刮了机密信息:AI服务(OpenAI、Anthropic、DeepSeek、Gemini)的API密钥、云凭证(阿里云和腾讯云等中国提供商,以及AWS、谷歌和Azure)、加密货币钱包密钥和数据库登录信息。
它利用工厂默认登录信息(minioadmin:minioadmin)突袭了MinIO存储服务器,该信息从未更改。它还设置了一个后门,添加了一个每30分钟向攻击者服务器发送心跳的定时任务。
然后它转向了真正目标:一个单独的、面向互联网的服务器,运行着MySQL数据库和阿里的Nacos(一种微服务设置中常见的配置和服务目录)。代理以root身份登录了数据库。
Sysdig表示,它从未看到这些root凭证的来源,因此其起源未知。之后,它利用一个2021年的身份验证绕过漏洞(CVE-2021-29441)和Nacos自2020年以来一直未更改的默认签名密钥接管了Nacos,然后植入了自己的管理员账户。
没有密钥的勒索信
代理加密了所有1,342个Nacos配置,删除了原始表,并留下一封勒索信,要求以比特币支付并提供Proton Mail联系方式。它生成了一个随机加密密钥,只在屏幕上打印了一次,从未保存或发送到任何地方。
没有密钥可以交出。即使受害者支付,也无法恢复数据。(勒索信声称使用AES-256;Sysdig指出其使用的工具默认为较弱的AES-128,尽管结果相同。)
随后它更进一步,删除了整个数据库,并在其自身代码中留下一条注释,声称已将数据复制到其他地方。
Sysdig表示,这只是代理在说话,团队无法确认,也没有发现任何数据实际被泄露的证据。
专家如何知道是AI在驱动
最明显的迹象是代码本身。攻击载荷中充满了通俗易懂的英文注释,解释每一步为何被采取,这是人类黑客从不费心去写的运行注释,但模型默认会生成。代理还以机器速度修复了自己的错误。
在一个案例中,它从一次失败的登录到正确的、多步骤的修复只用了31秒,诊断出确切原因而不是盲目重试。Sysdig统计了该操作中有超过600个独立的、有目的的载荷。
有一个细节仍然是个谜。勒索信中的比特币地址正是比特币自身开发者文档中出现的示例地址,这意味着它出现在这些模型所训练的文本中。它也是一个真实的、活跃的钱包,具有悠久的支付历史。
Sysdig无法判断模型是简单地从记忆中粘贴了一个熟悉的地址,还是操作者故意使用了一个恰好与著名示例匹配的真实钱包。
更大变化的一部分
JADEPUFFER是AI驱动攻击快速发展的一年中的最新一步。2025年8月,ESET的研究人员标记了PromptLock,号称首个AI驱动的勒索软件;后来发现它只是纽约大学的一个实验室原型,名为Ransomware 3.0,并非真实攻击。
大约在同一时间,Anthropic报告了一场真实的勒索活动,使用了其Claude Code工具攻击了至少17个组织,要求支付高达50万美元,不过那次仍有人类操控。
2025年11月,Anthropic披露了其所谓的首个基本自主的网络攻击,一次与中国国家相关的间谍活动,让Claude在几乎没有人类帮助的情况下编写漏洞利用程序并窃取数据。那次操作还让AI编造了不存在的凭证,可能正是JADEPUFFER奇怪比特币地址背后的同一种幻觉。
严重攻击的各个环节正在自动化,而旧的、未修补的软件是容易的首要目标。代理使得利用已知漏洞的整个目录几乎零成本,因此被忽视的服务器暴露得更多,而不是更少。
防御者应该做什么
修复方法很熟悉。修补Langflow,永远不要将其代码执行端点暴露在互联网上。不要在AI工具的环境中放置云密钥和提供商凭证;将秘密保存在适当的管理器中,远离网络可访问的任何内容。
加固Nacos:更改默认签名密钥,使其远离公共互联网,并且永远不要让它以root身份连接数据库。永远不要将数据库的管理员账户暴露在互联网上,并锁定出站流量,以防被黑的服务器与外界通信。
因为攻击者现在可以在几小时内利用新公告,Sysdig认为在运行时监控不良行为比竞相修补更重要。
Sysdig为该操作发布的指标包括:
- 入口点:CVE-2025-3248(Langflow未经身份验证的远程代码执行)
- 命令与控制:45.131.66[.]106,每30分钟向hxxp://45.131.66[.]106:4444/beacon发送心跳
- 声称的中转服务器:64.20.53[.]230
- 勒索比特币地址:3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy;联系方式:e78393397[@]proton[.]me;勒索表名:README_RANSOM
Sysdig称JADEPUFFER是一个警示信号,而非危机。没有单个步骤是巧妙或新颖的。新的地方在于,一个模型将它们拼接成针对被忽视服务器的完整攻击,完全自主。
随着代理工具不断成熟,预计还会有更多类似事件,并且要将任何暴露的服务器、配置存储或数据库管理员登录视为机器会探测的目标,而不仅仅是人。