AI 已开始独立发动勒索攻击?JadePuffer 成首个由 AI Agent 全程自主实施的勒索案例
云安全厂商 Sysdig 发布最新研究报告,披露了一起具有里程碑意义的网络攻击事件。
研究人员认为,这是全球首个由大型语言模型 (LLM) Agent 全程自主完成的勒索软件攻击案例。
此次攻击使用的勒索软件 JadePuffer,几乎没有人工参与,而是由 AI Agent 自主完成漏洞利用、环境侦察、凭据窃取、横向移动、权限提升、建立持久化以及数据加密等完整攻击链,标志着网络攻击正式迈入 Agentic Threat Actors (ATA,智能代理攻击者) 时代。
漏洞概览
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AES_ENCRYPT() |
|
|
|
AI 如何自主完成整个攻击?
与传统自动化脚本不同,JadePuffer 所使用的 AI Agent 能够根据攻击过程中遇到的问题自主分析并调整策略。
整个攻击过程中,AI 自动完成了:
-
漏洞利用 -
环境侦察 -
获取凭据 -
横向移动 -
权限提升 -
建立持久化 -
数据加密 -
留下勒索信息
研究人员指出,在一次登录失败后,AI Agent 仅用 31 秒便重新分析错误原因、修改执行逻辑,并成功完成登录,整个过程更像是一名经验丰富的渗透测试工程师,而非简单的自动化脚本。
攻击流程分析
第一步:利用 Langflow RCE 获取初始权限
攻击首先利用 CVE-2025-3248 漏洞。
该漏洞是 Langflow 的未授权远程代码执行 (RCE) 漏洞,攻击者无需身份验证即可执行任意代码。
漏洞已于 2025 年 4 月修复,并随后被美国 CISA 列入已遭利用漏洞目录。
成功利用漏洞后,AI Agent 获得了目标服务器的执行权限。
第二步:自动侦察目标环境
获得权限后,AI 开始自动收集目标环境信息,包括:
-
导出 Langflow PostgreSQL 数据库 -
收集主机信息 -
搜索环境变量 (Environment Variables) -
查找敏感配置文件 -
获取数据库账号密码 -
枚举 MinIO 对象存储
值得关注的是,在访问 MinIO 时,第一次请求返回的是 XML 格式,而 AI 很快调整了解析逻辑,由 JSON 自动切换为 XML 解析方式,体现出较强的动态适应能力。
第三步:建立持久化
为了确保后续持续控制目标服务器,AI 在 Langflow 主机上创建了 Cron 定时任务。
该任务每 30 分钟向攻击者服务器发送 Beacon 请求,实现长期驻留。
第四步:横向移动
随后,AI 利用获取到的 Root 凭据进入生产环境数据库,并进一步横向移动至部署 Alibaba Nacos (配置中心) 的 MySQL 服务器。
研究人员尚未确定这些 Root 凭据最初来源。
第五步:攻击 Nacos
在获得访问权限后,AI 针对 Nacos 发起进一步攻击。
其中包括利用 CVE-2021-29441 身份认证绕过漏洞创建新的管理员账户。
同时,AI 还持续尝试:
-
容器逃逸 -
权限提升 -
更多横向移动路径
整个过程均为自主执行。
第六步:部署勒索程序
完成环境控制后,AI 开始执行勒索程序。
研究显示,JadePuffer 共加密了 1,342 条 Nacos 配置数据。
整个过程通过 MySQL 内置函数:
AES_ENCRYPT()
完成数据加密。

可以看到程序随机生成加密密钥,调用 MySQL
AES_ENCRYPT()对配置数据进行加密,随后删除原始配置表,并创建README_RANSOM勒索说明表,留下赎金信息和联系方式。
随后程序继续执行:
-
删除 config_info原始配置表 -
删除 his_config_info历史记录表 -
创建 README_RANSOM勒索说明表 -
写入赎金要求 -
留下 Bitcoin 收款地址 -
留下 Proton Mail 联系方式
整个数据库配置几乎被完全破坏。
AI 留下了哪些”破绽”?
尽管攻击十分先进,但 Sysdig 仍发现了多个能够证明攻击由 AI 主导的细节。
① 自动生成大量自然语言注释
攻击代码中包含大量解释性注释,例如:
-
为什么执行当前步骤 -
为什么修改参数 -
为什么重新尝试
这种风格明显符合大型语言模型生成代码的特点。
② 自主分析错误并修复攻击流程
AI 并没有机械式重复攻击,而是在登录失败后:
-
自动分析失败原因 -
尝试默认账号密码 -
重新生成 bcrypt 哈希 -
修改代码调用方式 -
删除错误账户 -
重新创建管理员账户 -
最终成功登录
整个修复过程仅耗时 54 秒。

从首次登录失败到重新生成密码哈希、修正代码逻辑并最终成功登录,整个过程均由 AI 自主完成,无需人工干预。
③ Bitcoin 地址疑似来自训练数据
勒索信中的 Bitcoin 地址并非攻击者真实钱包,而是公开技术文档中经常出现的示例地址。
研究人员认为,这很可能是 AI 从训练数据中直接复制而来的内容。
④ 加密算法存在夸大宣传
勒索信宣称使用 AES-256 加密数据。
但 Sysdig 分析认为:
实际更可能采用的是 AES-128-ECB。
此外,加密密钥虽然随机生成,却没有保存,也没有上传给攻击者。
这意味着即使受害者支付赎金,攻击者也可能无法恢复数据。
为什么这次事件意义重大?
JadePuffer 并不仅仅是一款新的勒索软件。
真正值得关注的是:
AI 首次证明自己能够独立完成完整攻击链。
这意味着未来网络攻击可能发生重大变化:
-
AI 将进一步降低网络攻击门槛; -
攻击过程可根据目标环境实时调整,而非依赖固定脚本; -
自动化攻击速度和规模将大幅提升; -
安全防御将从传统特征检测转向识别 AI Agent 的行为模式。
与此同时,AI 生成代码中的自然语言注释、推理过程以及自动纠错行为,也为安全产品提供了新的检测思路。
总结
JadePuffer 的出现,意味着网络安全已经迈入 AI Agent 攻击时代。
过去需要资深黑客完成的复杂攻击,如今已经可以由 AI Agent 自主执行。从漏洞利用、环境侦察,到横向移动、权限提升,再到数据加密和勒索,整个攻击链几乎实现了全自动化。
未来,企业不仅需要持续修补漏洞、落实最小权限原则,更应加强对 AI 驱动攻击行为的监测与识别能力,以应对新一代智能化网络威胁。
#Simple #AI Agent #LLM Agent #JadePuffer
夜雨聆风