乐于分享
好东西不私藏

AI勒索软件来了

AI勒索软件来了

AI 安全 · 智能体勒索

第一起AI勒索软件来了,但不是AI叛变

真正变化是:攻击执行成本,正在被智能体压低。

这两天,安全圈出现了一个很容易被写歪的新闻。

云安全公司 Sysdig 披露了一起名为 JADEPUFFER 的攻击,称它是首个已记录的“智能体勒索软件”案例:一个大语言模型智能体,参与完成了从入侵、凭据搜集、横向移动到数据库破坏和勒索信息生成的技术执行。

如果只看标题,这件事很像“AI 自己变坏了”。但更准确的说法是:人类仍然设置目标和基础设施,AI 开始把原来需要熟练攻击者衔接的步骤自动串起来。

这不是一个“AI 有了恶意”的故事。

它更像一个警告:当攻击流程被智能体自动化,旧漏洞、默认配置和泄露密钥的危险会被成倍放大。


1

它到底做了什么?

根据 Sysdig 的报告,这次攻击从一个暴露在公网的 Langflow 实例开始。Langflow 是常见的 AI 应用和 Agent 工作流搭建工具。攻击入口与 CVE-2025-3248 有关,这是一个远程未认证代码执行漏洞,NVD 给出的 CVSS 3.1 分数为 9.8。

获得初始执行能力后,智能体开始枚举主机、寻找环境里的密钥、数据库配置、云凭据和加密钱包信息,并尝试识别内网里更有价值的服务。随后,它转向真正目标:一台运行 MySQL 和 Alibaba Nacos 的生产服务器。

最后,攻击者破坏了配置数据,并留下勒索信息。Sysdig 观察到的细节里,最值得注意的不是某个单独技术,而是智能体的行为模式:它会在载荷里用自然语言解释目标选择,会在失败后调整策略,还曾在一次失败登录之后,用 31 秒完成修正。

JADEPUFFER 高层流程人类准备:目标、基础设施、部分凭据智能体执行:侦察、试错、凭据搜集、横向移动结果:配置数据破坏,勒索信息生成核心变化:不是新技术,而是自动把旧问题串成攻击链

2

但“完全无人参与”不是事实

这也是这条新闻最需要谨慎的地方。

TechCrunch 和 CyberScoop 后续采访中,Sysdig 研究负责人 Michael Clark 都补充了一个关键限定:人类仍然参与了这次行动。人类负责设置并指向目标,准备命令控制服务器、暂存服务器,并选择受害者。

另外,攻击中用于连接受害者 MySQL 的 root 凭据,并不是 Sysdig 观察到由智能体现场窃取的。它更可能来自此前的入侵或其他人工环节。

更准确的判断是:

这不是 AI 自己从零策划犯罪,而是攻击者把 AI 变成了执行器。人类给方向,智能体跑流程。

还有一个容易误读的点:攻击过程中发现了 OpenAI、Anthropic、DeepSeek、Gemini 的 API key。但 Sysdig 后续澄清,这些 key 是被智能体搜出来的“战利品”,不是判断哪些模型参与攻击的证据。

换句话说,现在还不能说“某个前沿模型参与了这次勒索”。驱动 JADEPUFFER 的具体模型,Sysdig 没有确认。


3

真正可怕的是门槛下降

过去,勒索攻击不是只有一个按钮。它通常需要攻击者理解漏洞、识别环境、找凭据、判断哪个服务更值钱、处理失败、避免误操作,最后再完成勒索闭环。

JADEPUFFER 这件事的危险之处在于:这些步骤开始可以被模型串起来。它不一定创造了全新的攻击技术,但它把很多“本来就该修”的问题连接成了一条自动化攻击链。

旧问题一公网暴露的 AI 工具和代码执行端点。

旧问题二环境变量、配置文件里到处散落的 API key 和云凭据。

旧问题三数据库、配置中心、对象存储缺少网络隔离和最小权限。

过去,一个旧漏洞可能只是一个入口。

现在,一个入口可能会被智能体自动扩展成侦察、凭据搜集、横向移动和破坏闭环。


4

普通团队该看见什么?

这条新闻不只是安全厂商之间的技术展示。对任何正在把 AI 工具接进生产环境的团队,它都在提醒一件事:AI 应用栈本身,也会变成攻击面。

尤其是那些临时搭出来的 Agent 平台、低代码工作流、内网自动化服务,往往最容易携带高权限密钥,又最容易被当成“只是内部工具”而放松隔离。

第一修补 Langflow 等 AI 工具漏洞,不要把代码执行、校验、调试端点直接暴露到公网。

第二不要让 Web 可访问进程直接携带大量模型 API key、云凭据和数据库管理员权限。

第三数据库、配置中心、对象存储要做网络隔离、最小权限和出口流量控制。

第四监控不只看恶意文件,也要看异常计划任务、短时间高频试错、进程主动访问陌生外部地址。

智能体攻击有一个反直觉的防守机会:它生成的载荷可能更喜欢写清楚“为什么这么做”。这种自然语言式注释,反而可以成为检测和研判线索。

写在最后

JADEPUFFER 不代表 AI 已经拥有恶意,也不代表人类黑客消失了。

它真正代表的是另一件事:攻击者以后可能不再需要亲手完成每个技术环节。只要给出目标、凭据和基础设施,智能体就可能把一堆旧漏洞和坏配置自动串起来。

AI 安全的第一阶段,是防模型胡说。下一阶段,是防会读文档、会试错、会自己写脚本的自动化系统。

参考资料:Sysdig JADEPUFFER 报告、TechCrunch 2026-07-06 报道、CyberScoop 2026-07-06 采访、NVD CVE-2025-3248。Sysdig 未披露受害者身份,也未确认驱动该攻击的具体模型。

#AI安全#Agent#勒索软件#Langflow