首个有记录的AI Agent自动化勒索软件出现
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
🌟简介
研究人员发现了他们认为是首个有记录的勒索软件行动案例——JadePuffer,完全由大型语言模型(LLM)代理实施。
据云安全公司Sysdig称,JadePuffer使用自主AI代理侦察目标,窃取凭证、横向移动、建立持久性、升级权限以及加密数据。
研究人员表示,人工智能智能体在入侵过程中会适应故障,就像人类操作员处理障碍物一样。“操作也实时调整,在精细参数内重试失败步骤。有一段流程,从登录失败到31秒内就能修复”
从最初访问到加密
JadePuffer 通过利用 Langflow 中一个未认证的远程代码执行漏洞 CVE-2025-3248 获得了该目标的初步访问权限,Langflow 是一个流行的开源框架,用于构建大型语言模型应用。
该厂商于2025年4月1日修复了该漏洞,同年5月初,CISA将其标记为针对互联网暴露端点的攻击对象,这些终端通常部署时加固极少,但包含云凭证和API密钥。
通过CVE-2025-3248获得代码执行后,AI代理导出了Langflow的PostgreSQL数据库,收集主机信息,搜索环境变量和敏感文件,检索凭证,并枚举了MinIO对象存储。
Sysdig强调了MinIO枚举的自适应方法,即如果一个API请求返回的是XML而非JSON,下一个有效载荷会相应调整解析逻辑。
JadePuffer 还通过在服务器上安装一个 cron 作业,在 Langflow 主机上建立了持久化,该任务配置为每 30 分钟向攻击者基础设施发送信标。
从Langflow实例,攻击者转向运行阿里巴巴Nacos(命名与配置服务)的生产型MySQL服务器,使用Sysdig无法确定来源的根凭证。
Nacos被多个载荷攻击,其中一个利用CVE-2021-29441认证绕过漏洞,会创建流氓管理员账户。
该代理探测了容器逃逸方法,并部署了勒索软件载荷。研究人员称,JadePuffer 在删除原始配置前加密了 1,342 个 Nacos 服务配置项目。
Sysdig 描述道:“捕获的载荷显示,代理使用 MySQL 的 AES_ENCRYPT() 加密了所有 1,342 个 Nacos 服务配置项,丢弃了原始的config_info和历史表,并创建了一个包含需求、比特币支付地址和 Proton Mail 联系人的勒索表(README_RANSOM)。”
勒索信声称数据是用AES-256算法加密的,尽管研究人员认为这有些夸大,更可能使用较弱的AES-128-ECB算法。
加密密钥是随机生成的,但不会存储或传输给攻击者。
勒索信中列出的比特币地址是公开文档中广泛使用的示例地址,可能是大语言模型根据训练数据重现该地址的结果。
AI控制攻击的其他迹象包括生成代码中详细的自然语言注释,描述操作推理和快速攻击迭代,针对遇到的具体错误而非简单重试。
JadePuffer的案例表明“代理性威胁行为者”(ATA)的时代已经到来,降低了实施有害网络攻击所需的技能。
同时,鉴于当前AI智能体的工作方式,LLM生成的有效载荷为安全解决方案创造了新的检测机会。
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
赛克艾威 – 网络安全解决方案提供商
北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,提供全面的安全解决方案和专业的技术服务,帮助客户保护数字资产和网络环境的安全。
安全评估|渗透测试|漏洞扫描|安全巡检
代码审计|钓鱼演练|应急响应|安全运维
重大时刻安保|企业安全培训
电话|16637726088
官网|https://sechub.com.cn
公众号:sechub安全
哔哩号:SecHub官方账号