史上首起AI自主实施勒索软件攻击:人类仍在幕后操控,但威胁已截然不同
一、事件概述
上周,云安全公司Sysdig发布了一项令人不安的发现——他们记录了有史以来第一起”AI自主实施”的勒索软件攻击。这起被称为JadePuffer的勒索活动由一个AI智能体从始至终执行了技术层面的网络入侵:突破服务器漏洞、窃取凭证、在目标网络中横向移动并加密数据。
然而,这并非人们想象中的”AI叛乱”。Sysdig高级威胁研究主管Michael Clark在接受CyberScoop采访时澄清:人类仍然深度参与——他们设定了攻击目标、提供了基础设施(包括命令控制服务器和数据中转站),并获取了数据库凭证供智能体使用。只不过技术执行环节完全交给了AI。
真正令人不安的不是”AI在作恶”这个概念,而是攻击的速度和透明程度——该智能体在31秒内修复了失败的登录尝试,并在自然语言注释中全程阐述自己的推理过程。
二、深度分析
“AI自主攻击”究竟意味着什么?
要理解JadePuffer的真实含义,必须区分两个层面:技术执行和战略决策。在这次攻击中,人类负责的是战略层面的工作——选择目标、搭建基础设施;而AI智能体负责的是战术层面的操作——漏洞利用、凭证窃取、权限提升和数据加密。
这种分工模式在商业领域已经有了成熟的应用:人类设定目标和约束条件,AI寻找最优解。但在网络攻击中,这意味着黑客团队可以大幅压缩从侦察到勒索的整个周期——过去需要数天甚至数周的渗透测试和漏洞利用工作,现在可以在几分钟内由智能体自动完成。
JadePuffer用了什么”武器”?
关于驱动JadePuffer的具体模型,Sysdig无法确定。Clark表示他们未能识别出驱动该智能体的具体模型,也没有对该模型的system prompt或配置拥有可见性。
此前微软研究员Geoff McDonald提出了一种理论:攻击者使用的可能是被剥离了安全训练的开源大模型,而非前沿闭源模型。基于他本人的红队测试经验,前沿实验室的安全层仍然相当坚固——GPT-4和Claude等模型的”拒绝作恶”机制在对抗性prompt面前表现得令人惊讶地有效。
但Clark也提到,Sysdig发现了攻击者从目标系统窃取了多个API密钥(OpenAI、Anthropic、DeepSeek和Gemini),这表明攻击者可能将获取的模型API作为武器库来使用——虽然这些密钥本身是否被用于攻击决策尚不清楚。
威胁升级:从”一个AI黑客”到”成千上万的AI僵尸军团”
McDonald在LinkedIn上的警告值得深思——勒索软件活动现在主要受攻击者预算的限制,而非人力限制。这意味着可能出现”数千甚至数万个同时运行的AI攻击活动”。
这一担忧与Clark的描述存在矛盾:既然每次攻击仍需人类选择目标、搭建基础设施和获取数据库凭证,那么AI智能体的规模效应就十分有限。但如果攻击者找到了自动化这些步骤的方法(例如使用另一个AI来识别漏洞百出的服务器),那么”AI勒索软件军团”将不再是科幻。
防御体系的根本性挑战
传统网络安全防御体系建立在两个假设之上:攻击者是人类的,且攻击速度受限于人类的能力。JadePuffer的出现打破了这两个假设——AI智能体可以在31秒内修复失败的登录尝试、以超人的速度在网络上横向移动。
这意味着防御方必须在三个维度上升级:首先,需要AI驱动的检测系统来对抗AI攻击者;其次,必须加强对API密钥等凭证的保护——这些正是攻击者最渴求的”弹药”;最后,零信任架构和微隔离将成为必需品,因为一旦智能体进入网络内部,传统边界防御将形同虚设。
三、未来展望
JadePuffer攻击是一个里程碑事件——它标志着AI从”网络安全的辅助工具”转向了”网络安全的威胁载体”。虽然目前这种攻击仍需人类参与战略决策,但随着开源模型的不断完善和Agent技术的成熟,完全自主的AI勒索软件已经不远。
当Clark预测”鉴于运行智能体的成本如此之低,他预计会出现更多受害者”时,这实际上是在提醒我们:JadePuffer可能只是开始。在AI时代,网络安全的攻防博弈已经从”人类vs人类”升级为”AI+人类 vs AI+人类”的复杂战场。
信息来源:TechCrunch(The ‘first’ AI-run ransomware attack still needed a human)
夜雨聆风