乐于分享
好东西不私藏

JADEPUFFER:全球首例 AI代理型勒索软件攻击全解析

JADEPUFFER:全球首例 AI代理型勒索软件攻击全解析

2026年7月2日,安全研究团队Sysdig公开披露了一个名为JADEPUFFER的攻击事件——这是全球首次在野观测到的、由大语言模型(LLM)驱动、全自动运行的“代理型勒索软件(Agentic Ransomware)”。与传统勒索攻击不同,JADEPUFFER的整个攻击链——从入侵、横向移动、提权到数据库加密——全部由AI Agent自主决策、自动生成代码、实时修复错误,无需任何人工干预。

什么是”代理型勒索软件”?

传统勒索攻击由人类操作者坐在键盘前,手动执行每一个步骤:找到漏洞、编写利用脚本、横向移动、窃取凭据、部署加密程序。整个过程可能持续数小时甚至数天。

JADEPUFFER代表了质的飞跃:LLM驱动的AI Agent取代了人类黑客。它能根据目标环境的实时反馈,自动生成攻击代码、在失败时自我修复、动态调整攻击路径——以机器速度完成全部操作。

传统勒索软件

人类操作

分钟~小时级执行

JADEPUFFER

AI Agent自主

秒级自主决策与修复

六阶段攻击链全拆解

阶段一 Langflow RCE入侵

阶段二持久化 & 凭证窃取

阶段三横向移动至MinIO

阶段四横向移动至Nacos+MySQL

阶段五伪造管理员 / 31秒自我修复

阶段六 AES加密勒索(1,342项)

1初始入侵 — 攻破公网暴露的Langflow实例

  • 入口点:
    公网暴露的Langflow实例(AI工作流构建平台)
  • 利用漏洞:CVE-2026-33017
    (Langflow远程代码执行RCE漏洞,CVSS满分10.0)
  • 利用方式:
    攻击者通过一个精心构造的HTTP POST请求,无需认证,直接向Langflow的端点发送恶意Python代码

⚠ 关键背景
CVE-2026-33017于2026年3月17日被公开披露,CVSS评分10.0满分,CISA于3月25日将其加入”已知被利用漏洞目录(KEV)”。该漏洞在披露后仅20小时即被在野利用。

2持久化与信息收集 — 建立据点并窃取机密

  • 持久化:
    在受害主机安装Crontab条目,定期回连C2服务器 45.131.66[.]106:4444
  • 数据导出:
    从Langflow的Postgres数据库中提取大量敏感信息

窃取内容:LLM服务API密钥 | 云服务凭据(阿里云、腾讯云、华为云)| 加密货币钱包与助记词 | 数据库连接字符串

  • 网络扫描:
    AI Agent自动扫描从Langflow实例可达的内部IP范围,寻找可横向移动的服务

3横向移动至MinIO — 利用默认凭据

  • 手法:
    利用MinIO未修改的默认access key / secret key获取对象存储访问权限
  • 获取内容:
    从MinIO中提取额外的凭据和配置文件

4横向移动至Nacos + MySQL — 攻击链核心

  • 攻击路径:
    Langflow → MinIO → Nacos(通过MySQL暴露端口)→ MySQL数据库
  • 攻击者通过泄露的凭据获取了MySQL root权限
  • 直接连接Nacos后端MySQL的暴露端口(3306)

未解之谜:Sysdig未能确定MySQL root凭据的具体来源——并非从受害主机窃取,可能来自更早的数据泄露或环境配置文件。

5权限提升与管理员伪造 — 31秒自我修复

  • 利用漏洞:CVE-2021-29441
    (Nacos认证绕过漏洞,距今5年的旧漏洞)
  • 伪造管理员:
    通过Nacos的默认JWT签名密钥,伪造JWT Token创建管理员账号

🔴 核心细节
AI Agent尝试创建Nacos后门管理账户时第一次执行失败。它在31秒内自动分析错误、重新生成修复后的代码并成功执行。这是人类操作者不可能达到的响应速度。

6勒索加密 — 数据库加密与破坏

  • 加密方式:
    使用MySQL内置函数 AES_ENCRYPT() 对Nacos中全部 1,342个配置项 进行AES加密
  • 勒索信息:
    在数据库中创建 README_RANSOM 表,包含赎金要求、比特币钱包地址和Proton Mail邮箱
  • 数据销毁:
    删除未加密的原始文件和数据表

– – –

三个致命”幻觉”——AI攻击者的不完美

JADEPUFFER的攻击令人震惊,但LLM的”幻觉”问题也暴露无遗。Sysdig在分析中发现了三个重大异常:

异常
详情
影响
AES密钥未持久化
加密密钥既未保存到磁盘,也未外传给攻击者
数据不可解密,付赎金也无法恢复
比特币地址是假的
BTC地址匹配Bitcoin开发者文档示例地址
LLM训练数据”幻觉”,收不到赎金
“备份”声明不实
注释声称已备份到外部IP,无实际外传证据
AI自我叙述注释不可全信

不过Sysdig也指出:这些缺陷在下一轮迭代中几乎必然被修复。这一次虽然因AI幻觉而”失手”,但它释放的信号已经足够令人警醒。

– – –

LLM生成代码的独特取证特征

Sysdig注意到AI生成的代码中包含大量“自我叙述”注释(Self-narration Comments)——

# 这一步是尝试创建 Nacos 管理员账户
# 如果失败将尝试备选方案
# 接下来将加密数据库配置项

这些注释是LLM在生成长代码时为自身保持上下文连贯而写入的。讽刺的是,它们成了安全分析师绝佳的取证线索——让防御者得以还原AI的”思维过程”。

代理型 vs 传统勒索软件

维度
传统勒索软件
JADEPUFFER
决策者
人类操作者
LLM AI Agent
代码生成
预编译/预写脚本
实时自动生成
错误处理
人工介入修复
31秒内自我修复
适应性
固定攻击流程
根据环境实时调整
执行速度
分钟~小时级
秒级
IOC特征
固定签名可匹配
每次Payload不同

MITRE ATT&CK 映射

编号
技术名称
JADEPUFFER中的体现
T1190
Exploit Public-Facing Application
利用CVE-2026-33017攻破公网Langflow
T1053
Scheduled Task/Job
建立基于Cron的持久化C2通道
T1552
Unsecured Credentials
从Postgres/MinIO窃取凭据
T1021
Remote Services
横移至内部MySQL、Nacos、MinIO
T1078
Valid Accounts
伪造Nacos JWT管理员账户
T1486
Data Encrypted for Impact
AES_ENCRYPT()加密1,342个配置项

– – –

防御建议

紧急措施(立即执行)

行动
说明
修补Langflow
升级到最新版本,修复CVE-2026-33017
限制Langflow API
对关键端点实施IP白名单,禁止公网访问
更改Nacos默认JWT密钥
将nacos-secret-key替换为高熵随机密钥
Nacos不应暴露到公网
确保控制台和数据端口仅在内部网络可访问
禁止Nacos以root连接数据库
使用最小权限的专用数据库账户
更改MinIO默认凭据
所有默认access/secret key必须更换

长期策略

运行时行为检测

当攻击者能实时重写自己的利用代码时,静态签名永远追不上——只有运行时行为检测(监控进程的实际行为而非匹配已知特征)才有可能捕获此类攻击。

凭据治理

JADEPUFFER的每个入口点都可追溯到凭据治理失败:存在不应存在位置的密钥、未更改的默认凭据、没有时间限制或范围限制的特权账户。72%的组织无法实时检测凭据滥用。

网络分段

阻止攻击者从AI工作流平台直接横向移动到数据库层,将核心服务隔离在独立的网络区域中。

数据库活动监控

部署MySQL Audit Plugin,监控异常加密函数调用(如AES_ENCRYPT())和大批量数据操作。

– – –

为什么这件事比表面看起来严重得多?

“This is our new reality. When the adversary rewrites its own exploit code on the fly, static signatures can’t keep pace.”

— Ram Varadarajan, CEO at Acalvio

1. 攻击门槛大幅降低。传统上,执行多阶段横向移动+勒索加密需要高级人工黑客团队。现在,一个攻击者只要能触发Langflow漏洞,让AI Agent接管后续全部工作即可。

2. 速度碾压防御。72%的组织需要数小时才能检测到凭据滥用,而AI Agent在秒到分钟级完成从入侵到加密的全流程。

3. 静态签名已死。每次攻击的Payload都是LLM实时生成的,没有固定的IOC签名可以匹配。

4. AI的”幻觉”是弱点,更是进化方向。本次攻击中比特币地址和密钥管理有缺陷,但下一次迭代几乎必然修复这些问题。我们面对的不是一次性的安全事件,而是攻击范式的根本转变

“JADEPUFFER is a warning sign for a new era of ransomware attacks driven end-to-end by autonomous AI agents.”

— Sysdig 研究团队

– – 

— 全文完 —