首例自主AI勒索软件JADEPUFFER
一个 AI,自己完成了整场勒索攻击
安全圈这几天被一条消息炸了:Sysdig 威胁研究团队确认,JADEPUFFER 是首个完全由 AI 智能体自主执行的勒索软件攻击——从踩点、偷密码、横向移动,到加密数据库、生成勒索信,没有一个人类在中间逐步下令。
人形机器人才刚学会走路,AI 攻击已经学会”自己动手”了。
一、JADEPUFFER 是什么
它不是某个新病毒家族的变种,而是一次**”agent 自主作案”**的实证。
以往谈”AI 网络攻击”,大多是辅助:帮人写钓鱼邮件、生成漏洞利用代码。JADEPUFFER 不一样——真正的决策和执行都是那个 LLM agent 自己完成的。人类操作者只做了两件事:选了目标、搭好基础设施。剩下的,agent 包圆了。
Sysdig 把完整攻击链摊开分析,结论很直白:这是目前有据可查的第一例端到端自主勒索行动。
二、攻击链长什么样(一张图记牢)
JADEPUFFER 在拿到初始入口后,自主跑完了 7 个阶段,累计 600+ 个攻击载荷:
-
侦察 —— 摸清目标环境和资产 -
凭据窃取 —— 从受害环境里扒出 OpenAI / Anthropic / DeepSeek / Gemini 的密钥 -
横向移动 —— 在内网里扩散 foothold -
权限提升 —— 拿到更高权限 -
持久化 —— 留后门,保证还能回来 -
数据库加密 —— 核心破坏动作 -
生成勒索信 —— 收尾,开价
注意:日志里那些大厂 API key,是 agent 从受害者环境偷来的,不是攻击者自己用的。换句话说,这伙人连密钥都不用准备,让 agent 现场现偷。
三、入口在哪:一个没打补丁的漏洞
整件事最扎心的地方,在于入口极其”老套”。
JADEPUFFER 钻的是 Langflow 的 CVE-2025-3248——一个 CVSS 9.8 的缺失身份验证漏洞。它早在 Langflow 1.3.0 就修了,2025 年 5 月还被塞进了 CISA 的”已知被利用漏洞”名录(KEV)。
但那台中招服务器,从没更新过。
这给所有跑 AI 基础设施的团队提了个醒:你不是在和某个人对抗,而是在和一个会自动找软柿子的 agent 对抗。一个没补的洞,过去可能只是被扫一下,现在会被 agent 顺着挖到底。
四、为什么这件事值得警惕
我更在意的不是”又一种勒索软件”,而是它背后的范式变化:
“自主”意味着攻击成本和门槛同时塌方。 过去组织一场勒索,需要懂攻击的人一步步操作;现在,一个会配 agent 的人,把目标和基础设施交出去,agent 自己排兵布阵。攻击的规模化、廉价化会显著加速。
换句话说,AI 安全的讨论,从”PPT 上的风险”正式走进”运维日志里的现实”。这和我们在闪卡里聊过的 Agent 能力是一体两面——能自主干正事的 agent,也能自主干坏事。
五、如果你是运维 / 开发者,速查这张卡
-
✅ 立刻盘一遍:你们有没有跑 Langflow,且版本低于 1.3.0?有就今天升 -
✅ 最小暴露面:AI 工具链别直接挂公网,该加身份验证的别省 -
✅ 密钥隔离:生产环境的 API key 别和实验环境混用,定期轮转 -
✅ 告警要看”过程”:agent 攻击的特征是”多步小动作”,单看每一步都不吓人,串起来才致命 -
✅ 订阅 CISA KEV:已知被利用漏洞,该打的补丁别拖
写在最后
JADEPUFFER 像一记警钟:当我们把”自主”交给 AI,它既会帮我们写代码、做研究,也会自己找漏洞、自己加密、自己开价。工具越强,把手柄的人越要清醒。
AI 不是安全的终点,它只是把攻防两头的杠杆一起撬长了。
往期关联,顺着”AI 能自主做什么”的脉络看更清楚: → 033 AI安全与对齐(没有它,AI 可能大闹天宫) → 037 多智能体系统(从单 Agent 到团队作战) → 035 代理工作流(AI 自主规划与执行)
如果这篇帮你建立了”agent 威胁”的实感,欢迎星标⭐公众号 + 点个「在看」——把 AI 安全的边界,分享给一起扛服务器的小伙伴。
夜雨聆风