乐于分享
好东西不私藏

AI 已开始独立发动勒索攻击?JadePuffer 成首个由 AI Agent 全程自主实施的勒索案例

AI 已开始独立发动勒索攻击?JadePuffer 成首个由 AI Agent 全程自主实施的勒索案例

云安全厂商 Sysdig 发布最新研究报告,披露了一起具有里程碑意义的网络攻击事件。

研究人员认为,这是全球首个由大型语言模型 (LLM) Agent 全程自主完成的勒索软件攻击案例

此次攻击使用的勒索软件 JadePuffer,几乎没有人工参与,而是由 AI Agent 自主完成漏洞利用、环境侦察、凭据窃取、横向移动、权限提升、建立持久化以及数据加密等完整攻击链,标志着网络攻击正式迈入 Agentic Threat Actors (ATA,智能代理攻击者) 时代


漏洞概览

项目
内容
勒索软件
JadePuffer
攻击方式
AI Agent 全流程自动化攻击
初始漏洞
CVE-2025-3248 (Langflow 未授权远程代码执行漏洞)
横向攻击目标
PostgreSQL、MinIO、Alibaba Nacos
后续利用漏洞
CVE-2021-29441 (Nacos 身份认证绕过漏洞)
数据加密方式
MySQL AES_ENCRYPT()
最终影响
加密 1,342 条 Nacos 配置数据、删除历史记录并留下勒索信息

AI 如何自主完成整个攻击?

与传统自动化脚本不同,JadePuffer 所使用的 AI Agent 能够根据攻击过程中遇到的问题自主分析并调整策略。

整个攻击过程中,AI 自动完成了:

  • 漏洞利用
  • 环境侦察
  • 获取凭据
  • 横向移动
  • 权限提升
  • 建立持久化
  • 数据加密
  • 留下勒索信息

研究人员指出,在一次登录失败后,AI Agent 仅用 31 秒便重新分析错误原因、修改执行逻辑,并成功完成登录,整个过程更像是一名经验丰富的渗透测试工程师,而非简单的自动化脚本。


攻击流程分析

第一步:利用 Langflow RCE 获取初始权限

攻击首先利用 CVE-2025-3248 漏洞。

该漏洞是 Langflow 的未授权远程代码执行 (RCE) 漏洞,攻击者无需身份验证即可执行任意代码。

漏洞已于 2025 年 4 月修复,并随后被美国 CISA 列入已遭利用漏洞目录。

成功利用漏洞后,AI Agent 获得了目标服务器的执行权限。


第二步:自动侦察目标环境

获得权限后,AI 开始自动收集目标环境信息,包括:

  • 导出 Langflow PostgreSQL 数据库
  • 收集主机信息
  • 搜索环境变量 (Environment Variables)
  • 查找敏感配置文件
  • 获取数据库账号密码
  • 枚举 MinIO 对象存储

值得关注的是,在访问 MinIO 时,第一次请求返回的是 XML 格式,而 AI 很快调整了解析逻辑,由 JSON 自动切换为 XML 解析方式,体现出较强的动态适应能力。


第三步:建立持久化

为了确保后续持续控制目标服务器,AI 在 Langflow 主机上创建了 Cron 定时任务

该任务每 30 分钟向攻击者服务器发送 Beacon 请求,实现长期驻留。


第四步:横向移动

随后,AI 利用获取到的 Root 凭据进入生产环境数据库,并进一步横向移动至部署 Alibaba Nacos (配置中心) 的 MySQL 服务器。

研究人员尚未确定这些 Root 凭据最初来源。


第五步:攻击 Nacos

在获得访问权限后,AI 针对 Nacos 发起进一步攻击。

其中包括利用 CVE-2021-29441 身份认证绕过漏洞创建新的管理员账户。

同时,AI 还持续尝试:

  • 容器逃逸
  • 权限提升
  • 更多横向移动路径

整个过程均为自主执行。


第六步:部署勒索程序

完成环境控制后,AI 开始执行勒索程序。

研究显示,JadePuffer 共加密了 1,342 条 Nacos 配置数据

整个过程通过 MySQL 内置函数:

AES_ENCRYPT()

完成数据加密。

可以看到程序随机生成加密密钥,调用 MySQL AES_ENCRYPT() 对配置数据进行加密,随后删除原始配置表,并创建 README_RANSOM 勒索说明表,留下赎金信息和联系方式。

随后程序继续执行:

  • 删除 config_info 原始配置表
  • 删除 his_config_info 历史记录表
  • 创建 README_RANSOM 勒索说明表
  • 写入赎金要求
  • 留下 Bitcoin 收款地址
  • 留下 Proton Mail 联系方式

整个数据库配置几乎被完全破坏。


AI 留下了哪些”破绽”?

尽管攻击十分先进,但 Sysdig 仍发现了多个能够证明攻击由 AI 主导的细节。


① 自动生成大量自然语言注释

攻击代码中包含大量解释性注释,例如:

  • 为什么执行当前步骤
  • 为什么修改参数
  • 为什么重新尝试

这种风格明显符合大型语言模型生成代码的特点。


② 自主分析错误并修复攻击流程

AI 并没有机械式重复攻击,而是在登录失败后:

  • 自动分析失败原因
  • 尝试默认账号密码
  • 重新生成 bcrypt 哈希
  • 修改代码调用方式
  • 删除错误账户
  • 重新创建管理员账户
  • 最终成功登录

整个修复过程仅耗时 54 秒

从首次登录失败到重新生成密码哈希、修正代码逻辑并最终成功登录,整个过程均由 AI 自主完成,无需人工干预。


③ Bitcoin 地址疑似来自训练数据

勒索信中的 Bitcoin 地址并非攻击者真实钱包,而是公开技术文档中经常出现的示例地址。

研究人员认为,这很可能是 AI 从训练数据中直接复制而来的内容。


④ 加密算法存在夸大宣传

勒索信宣称使用 AES-256 加密数据。

但 Sysdig 分析认为:

实际更可能采用的是 AES-128-ECB

此外,加密密钥虽然随机生成,却没有保存,也没有上传给攻击者

这意味着即使受害者支付赎金,攻击者也可能无法恢复数据。


为什么这次事件意义重大?

JadePuffer 并不仅仅是一款新的勒索软件。

真正值得关注的是:

AI 首次证明自己能够独立完成完整攻击链。

这意味着未来网络攻击可能发生重大变化:

  • AI 将进一步降低网络攻击门槛;
  • 攻击过程可根据目标环境实时调整,而非依赖固定脚本;
  • 自动化攻击速度和规模将大幅提升;
  • 安全防御将从传统特征检测转向识别 AI Agent 的行为模式。

与此同时,AI 生成代码中的自然语言注释、推理过程以及自动纠错行为,也为安全产品提供了新的检测思路。


总结

JadePuffer 的出现,意味着网络安全已经迈入 AI Agent 攻击时代

过去需要资深黑客完成的复杂攻击,如今已经可以由 AI Agent 自主执行。从漏洞利用、环境侦察,到横向移动、权限提升,再到数据加密和勒索,整个攻击链几乎实现了全自动化。

未来,企业不仅需要持续修补漏洞、落实最小权限原则,更应加强对 AI 驱动攻击行为的监测与识别能力,以应对新一代智能化网络威胁。

#Simple #AI Agent #LLM Agent #JadePuffer