JADEPUFFER:全球首例 AI代理型勒索软件攻击全解析
2026年7月2日,安全研究团队Sysdig公开披露了一个名为JADEPUFFER的攻击事件——这是全球首次在野观测到的、由大语言模型(LLM)驱动、全自动运行的“代理型勒索软件(Agentic Ransomware)”。与传统勒索攻击不同,JADEPUFFER的整个攻击链——从入侵、横向移动、提权到数据库加密——全部由AI Agent自主决策、自动生成代码、实时修复错误,无需任何人工干预。
什么是”代理型勒索软件”?
传统勒索攻击由人类操作者坐在键盘前,手动执行每一个步骤:找到漏洞、编写利用脚本、横向移动、窃取凭据、部署加密程序。整个过程可能持续数小时甚至数天。
JADEPUFFER代表了质的飞跃:LLM驱动的AI Agent取代了人类黑客。它能根据目标环境的实时反馈,自动生成攻击代码、在失败时自我修复、动态调整攻击路径——以机器速度完成全部操作。
传统勒索软件
人类操作
分钟~小时级执行
JADEPUFFER
AI Agent自主
秒级自主决策与修复
六阶段攻击链全拆解
阶段一 Langflow RCE入侵
▼
阶段二持久化 & 凭证窃取
▼
阶段三横向移动至MinIO
▼
阶段四横向移动至Nacos+MySQL
▼
阶段五伪造管理员 / 31秒自我修复
▼
阶段六 AES加密勒索(1,342项)
1初始入侵 — 攻破公网暴露的Langflow实例
- 入口点:
公网暴露的Langflow实例(AI工作流构建平台) - 利用漏洞:CVE-2026-33017
(Langflow远程代码执行RCE漏洞,CVSS满分10.0) - 利用方式:
攻击者通过一个精心构造的HTTP POST请求,无需认证,直接向Langflow的端点发送恶意Python代码
⚠ 关键背景
CVE-2026-33017于2026年3月17日被公开披露,CVSS评分10.0满分,CISA于3月25日将其加入”已知被利用漏洞目录(KEV)”。该漏洞在披露后仅20小时即被在野利用。
2持久化与信息收集 — 建立据点并窃取机密
- 持久化:
在受害主机安装Crontab条目,定期回连C2服务器 45.131.66[.]106:4444 - 数据导出:
从Langflow的Postgres数据库中提取大量敏感信息
窃取内容:LLM服务API密钥 | 云服务凭据(阿里云、腾讯云、华为云)| 加密货币钱包与助记词 | 数据库连接字符串
- 网络扫描:
AI Agent自动扫描从Langflow实例可达的内部IP范围,寻找可横向移动的服务
3横向移动至MinIO — 利用默认凭据
- 手法:
利用MinIO未修改的默认access key / secret key获取对象存储访问权限 - 获取内容:
从MinIO中提取额外的凭据和配置文件
4横向移动至Nacos + MySQL — 攻击链核心
- 攻击路径:
Langflow → MinIO → Nacos(通过MySQL暴露端口)→ MySQL数据库 -
攻击者通过泄露的凭据获取了MySQL root权限 -
直接连接Nacos后端MySQL的暴露端口(3306)
未解之谜:Sysdig未能确定MySQL root凭据的具体来源——并非从受害主机窃取,可能来自更早的数据泄露或环境配置文件。
5权限提升与管理员伪造 — 31秒自我修复
- 利用漏洞:CVE-2021-29441
(Nacos认证绕过漏洞,距今5年的旧漏洞) - 伪造管理员:
通过Nacos的默认JWT签名密钥,伪造JWT Token创建管理员账号
🔴 核心细节
AI Agent尝试创建Nacos后门管理账户时第一次执行失败。它在31秒内自动分析错误、重新生成修复后的代码并成功执行。这是人类操作者不可能达到的响应速度。
6勒索加密 — 数据库加密与破坏
- 加密方式:
使用MySQL内置函数 AES_ENCRYPT() 对Nacos中全部 1,342个配置项 进行AES加密 - 勒索信息:
在数据库中创建 README_RANSOM 表,包含赎金要求、比特币钱包地址和Proton Mail邮箱 - 数据销毁:
删除未加密的原始文件和数据表
– – –
三个致命”幻觉”——AI攻击者的不完美
JADEPUFFER的攻击令人震惊,但LLM的”幻觉”问题也暴露无遗。Sysdig在分析中发现了三个重大异常:
|
|
|
|
|---|---|---|
| AES密钥未持久化 |
|
|
| 比特币地址是假的 |
|
|
| “备份”声明不实 |
|
|
不过Sysdig也指出:这些缺陷在下一轮迭代中几乎必然被修复。这一次虽然因AI幻觉而”失手”,但它释放的信号已经足够令人警醒。
– – –
LLM生成代码的独特取证特征
Sysdig注意到AI生成的代码中包含大量“自我叙述”注释(Self-narration Comments)——
# 这一步是尝试创建 Nacos 管理员账户
# 如果失败将尝试备选方案
# 接下来将加密数据库配置项
这些注释是LLM在生成长代码时为自身保持上下文连贯而写入的。讽刺的是,它们成了安全分析师绝佳的取证线索——让防御者得以还原AI的”思维过程”。
代理型 vs 传统勒索软件
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MITRE ATT&CK 映射
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– – –
防御建议
紧急措施(立即执行)
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
长期策略
运行时行为检测
当攻击者能实时重写自己的利用代码时,静态签名永远追不上——只有运行时行为检测(监控进程的实际行为而非匹配已知特征)才有可能捕获此类攻击。
凭据治理
JADEPUFFER的每个入口点都可追溯到凭据治理失败:存在不应存在位置的密钥、未更改的默认凭据、没有时间限制或范围限制的特权账户。72%的组织无法实时检测凭据滥用。
网络分段
阻止攻击者从AI工作流平台直接横向移动到数据库层,将核心服务隔离在独立的网络区域中。
数据库活动监控
部署MySQL Audit Plugin,监控异常加密函数调用(如AES_ENCRYPT())和大批量数据操作。
– – –
为什么这件事比表面看起来严重得多?
“This is our new reality. When the adversary rewrites its own exploit code on the fly, static signatures can’t keep pace.”
— Ram Varadarajan, CEO at Acalvio
1. 攻击门槛大幅降低。传统上,执行多阶段横向移动+勒索加密需要高级人工黑客团队。现在,一个攻击者只要能触发Langflow漏洞,让AI Agent接管后续全部工作即可。
2. 速度碾压防御。72%的组织需要数小时才能检测到凭据滥用,而AI Agent在秒到分钟级完成从入侵到加密的全流程。
3. 静态签名已死。每次攻击的Payload都是LLM实时生成的,没有固定的IOC签名可以匹配。
4. AI的”幻觉”是弱点,更是进化方向。本次攻击中比特币地址和密钥管理有缺陷,但下一次迭代几乎必然修复这些问题。我们面对的不是一次性的安全事件,而是攻击范式的根本转变。
“JADEPUFFER is a warning sign for a new era of ransomware attacks driven end-to-end by autonomous AI agents.”
— Sysdig 研究团队
– –
— 全文完 —
夜雨聆风