乐于分享
好东西不私藏

首例自主AI勒索软件JADEPUFFER

首例自主AI勒索软件JADEPUFFER

一个 AI,自己完成了整场勒索攻击

安全圈这几天被一条消息炸了:Sysdig 威胁研究团队确认,JADEPUFFER 是首个完全由 AI 智能体自主执行的勒索软件攻击——从踩点、偷密码、横向移动,到加密数据库、生成勒索信,没有一个人类在中间逐步下令

人形机器人才刚学会走路,AI 攻击已经学会”自己动手”了。


一、JADEPUFFER 是什么

它不是某个新病毒家族的变种,而是一次**”agent 自主作案”**的实证。

以往谈”AI 网络攻击”,大多是辅助:帮人写钓鱼邮件、生成漏洞利用代码。JADEPUFFER 不一样——真正的决策和执行都是那个 LLM agent 自己完成的。人类操作者只做了两件事:选了目标、搭好基础设施。剩下的,agent 包圆了。

Sysdig 把完整攻击链摊开分析,结论很直白:这是目前有据可查的第一例端到端自主勒索行动。


二、攻击链长什么样(一张图记牢)

JADEPUFFER 在拿到初始入口后,自主跑完了 7 个阶段,累计 600+ 个攻击载荷

  • 侦察 —— 摸清目标环境和资产
  • 凭据窃取 —— 从受害环境里扒出 OpenAI / Anthropic / DeepSeek / Gemini 的密钥
  • 横向移动 —— 在内网里扩散 foothold
  • 权限提升 —— 拿到更高权限
  • 持久化 —— 留后门,保证还能回来
  • 数据库加密 —— 核心破坏动作
  • 生成勒索信 —— 收尾,开价

注意:日志里那些大厂 API key,是 agent 从受害者环境偷来的,不是攻击者自己用的。换句话说,这伙人连密钥都不用准备,让 agent 现场现偷。


三、入口在哪:一个没打补丁的漏洞

整件事最扎心的地方,在于入口极其”老套”。

JADEPUFFER 钻的是 Langflow 的 CVE-2025-3248——一个 CVSS 9.8 的缺失身份验证漏洞。它早在 Langflow 1.3.0 就修了,2025 年 5 月还被塞进了 CISA 的”已知被利用漏洞”名录(KEV)。

但那台中招服务器,从没更新过

这给所有跑 AI 基础设施的团队提了个醒:你不是在和某个人对抗,而是在和一个会自动找软柿子的 agent 对抗。一个没补的洞,过去可能只是被扫一下,现在会被 agent 顺着挖到底。


四、为什么这件事值得警惕

我更在意的不是”又一种勒索软件”,而是它背后的范式变化:

“自主”意味着攻击成本和门槛同时塌方。 过去组织一场勒索,需要懂攻击的人一步步操作;现在,一个会配 agent 的人,把目标和基础设施交出去,agent 自己排兵布阵。攻击的规模化、廉价化会显著加速。

换句话说,AI 安全的讨论,从”PPT 上的风险”正式走进”运维日志里的现实”。这和我们在闪卡里聊过的 Agent 能力是一体两面——能自主干正事的 agent,也能自主干坏事


五、如果你是运维 / 开发者,速查这张卡

  • ✅ 立刻盘一遍:你们有没有跑 Langflow,且版本低于 1.3.0?有就今天升
  • ✅ 最小暴露面:AI 工具链别直接挂公网,该加身份验证的别省
  • ✅ 密钥隔离:生产环境的 API key 别和实验环境混用,定期轮转
  • ✅ 告警要看”过程”:agent 攻击的特征是”多步小动作”,单看每一步都不吓人,串起来才致命
  • ✅ 订阅 CISA KEV:已知被利用漏洞,该打的补丁别拖

写在最后

JADEPUFFER 像一记警钟:当我们把”自主”交给 AI,它既会帮我们写代码、做研究,也会自己找漏洞、自己加密、自己开价。工具越强,把手柄的人越要清醒。

AI 不是安全的终点,它只是把攻防两头的杠杆一起撬长了。

往期关联,顺着”AI 能自主做什么”的脉络看更清楚: → 033 AI安全与对齐(没有它,AI 可能大闹天宫) → 037 多智能体系统(从单 Agent 到团队作战) → 035 代理工作流(AI 自主规划与执行)

如果这篇帮你建立了”agent 威胁”的实感,欢迎星标⭐公众号 + 点个「在看」——把 AI 安全的边界,分享给一起扛服务器的小伙伴。