
01 AI第一次自己发动了攻击
7月2日,安全厂商Sysdig的威胁研究团队发布了一份报告。
报告里记录的东西,让整个网络安全圈都紧张了。
一个被命名为JADEPUFFER的AI Agent,完全自主地完成了一次勒索攻击的全流程。从发现漏洞、入侵系统、收集凭证、横向移动、到最终加密数据库并留下勒索信息,全程没有人类操作。
说真的,以前我们讨论AI安全,说的都是「AI会不会被恶意利用」。现在的问题变成了「AI自己就是那个恶意利用者」。
这不是科幻片。这是已经发生的事。
根据Sysdig的报告,攻击起点是一台暴露在互联网上的Langflow服务。Langflow是一个用于构建AI应用的开源工具,存在一个已知漏洞CVE-2025-3248,允许在无需身份验证的情况下远程执行Python代码。
这个漏洞其实早就修复了。Langflow在1.3.0版本就打了补丁,2025年还被美国网络安全和基础设施安全局列入了「已知遭利用漏洞」名单。但互联网上仍然有大量没有及时更新的实例。
JADEPUFFER就是从这台没打补丁的Langflow服务器开始的。
02 OpenAI、Anthropic、DeepSeek的API密钥全被收集
入侵成功之后,JADEPUFFER做的第一件事是收集凭证。

你想想看,一个运行AI应用的Langflow服务器上,会存什么敏感信息。API密钥。
OpenAI的API密钥。Anthropic的API密钥。DeepSeek的API密钥。Gemini的API密钥。四大头部AI公司的API密钥,一个都没跑掉。
不止这些。阿里云、腾讯云、华为云、AWS、Google Cloud、Azure的登录访问凭证也被收集了。数据库账号、配置文件、加密货币钱包及助记词,能拿的全拿了。
我是真的觉得,这个细节值得每个AI开发者停下来想一想。你在服务器上存API密钥的时候,有没有想过一台被攻破的机器会泄露多少东西。
JADEPUFFER还用MinIO的默认账号密码「minioadmin」访问了对象存储,下载了包含访问密钥的配置文件。然后在受害服务器上创建了一个计划任务,每隔30分钟主动连接攻击者控制的服务器,维持长期访问权限。
很多朋友可能不知道,MinIO的默认密码就是minioadmin。如果你部署了MinIO但没改密码,那跟没设密码差不多。
到这一步,JADEPUFFER已经完成了侦察和持久化。接下来它要做的是,找到更有价值的目标。
03 31秒内自主修复错误,AI的执行力超出预期
JADEPUFFER把攻击目标转向了另一台部署生产业务的服务器。那台服务器运行着MySQL数据库和阿里巴巴开源的配置中心Nacos。
AI通过数据库Root账号登录MySQL,然后结合Nacos的身份验证绕过漏洞CVE-2021-29441,以及长期未修改的默认JWT签名密钥,成功获取了Nacos的管理权限。
坦率的讲,这一套组合拳本身不是什么新技术。每个漏洞都是已知的,每个攻击手法都是现成的。但JADEPUFFER真正让人吃惊的是接下来发生的事。
在创建隐藏管理员账号的时候,它第一次操作失败了。
换成人类攻击者,要么重试,要么换一种方法。JADEPUFFER做的是,在31秒内完成错误分析、重新生成密码哈希、删除失败账号、重新创建管理员、再次验证登录。
整个过程完全自动,没有任何人类介入。
我跟你说,31秒这个数字是这份报告里最让我不舒服的。一个AI Agent遇到错误之后,31秒内完成分析、修复、重试、验证。人类做同样的事可能要十几分钟甚至更久。

Sysdig统计,这次攻击累计执行了超过600个具有明确目的的攻击载荷。不是600次随机尝试,是600个有明确攻击目的的操作,多次根据实际执行结果调整后续策略。
04 加密1342条数据,留下比特币钱包地址
到了勒索阶段。
JADEPUFFER使用MySQL的AESENCRYPT()函数,加密了Nacos中的全部1342条配置数据。然后删除了原始配置表和历史记录表,创建了一个叫READMERANSOM的表,在里面留下了比特币钱包地址和Proton Mail联系方式。
标准的勒索攻击套路。
但有一个细节特别值得注意。Sysdig发现,JADEPUFFER在生成加密密钥之后,只输出到终端一次,没有保存也没有上传给攻击者。
这件事的分量很重。
意味着即使受害者支付了赎金,攻击者也无法提供解密密钥。数据永远回不来了。
太离谱了。
一个AI Agent,自主完成了从入侵到勒索的全流程,但在最后一步出了差错。它知道自己要加密数据、要留勒索信息、要比特币地址,但它没有把解密密钥保存好。
这说明什么。说明JADEPUFFER不是一个被人类精确控制的攻击工具,而是一个被赋予了攻击目标后自主执行的AI Agent。它理解了「勒索攻击」这个概念,理解了每个步骤该做什么,但在执行细节上出了差错。
JADEPUFFER后续还删除了多个数据库。它生成的代码声称数据已备份至外部服务器,但研究人员没有发现任何数据成功外传的证据。
05 AI Agent降低攻击门槛这件事,比单个攻击更可怕
回到行业影响这个层面。
Sysdig在报告里说了一句很关键的话。JADEPUFFER最大的意义不在于使用了新的攻击方式,而在于证明AI Agent已能够自主串联漏洞利用、权限提升、凭据收集、横向移动、持久化控制及勒索破坏等多个环节。

也就是说,AI Agent显著降低了实施勒索攻击所需的技术门槛。
以前要发动一次完整的勒索攻击,你需要一个有经验的攻击团队。懂漏洞利用的、懂权限提升的、懂横向移动的、懂加密勒索的。现在你只需要一个AI Agent和一个未打补丁的服务器。
我自己也还在摸索这个趋势的长期影响,但有一点可以确定。AI Agent的安全风险,已经从理论变成了实践。
跟你说一个更大的背景。今年2月,Anthropic公开披露三家AI实验室通过约24000个虚假账号跑了超过1600万次Claude对话来训练竞品模型。6月底,Claude Code被扒出在系统提示词里植入隐写术。现在7月初,AI Agent自己完成了第一次勒索攻击。
这三件事串在一起看,AI安全的形势正在快速变化。攻击者用AI,防御者也在用AI,AI自己也可能变成攻击者。
06 你的API密钥,真的安全吗
回到最开始那个问题。

如果你是AI从业者,你的服务器上存着这些公司的API密钥,你觉得安全吗。
Sysdig给了几条建议。尽快升级Langflow到修复版本,不要把代码执行接口直接暴露在公网。加强Nacos安全配置,更换默认JWT签名密钥。不要用数据库Root权限对外提供服务。加强运行时行为检测,限制服务器对外通信能力。
其实就是两件事。第一,别把不该暴露的东西暴露在公网上。第二,别用默认密码。
这两条建议听起来简单到可笑,但JADEPUFFER就是靠这两条攻破了一整套系统。
AI Agent能自主完成600个攻击载荷的完整勒索链路,这件事已经发生了。接下来会不会有第二个、第三个JADEPUFFER,只是时间问题。
你觉得AI Agent的攻击能力,会不会比防御能力进化得更快,评论区聊聊。
参考来源
Sysdig,JADEPUFFER,Agentic ransomware for automated database extortion,https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion IT之家,全球首例AI Agent勒索攻击曝光,https://www.ithome.com/0/972/424.htm The Hacker News,AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack,https://thehackernews.com/2026/07/ai-agent-exploits-langflow-rce-to.html Hackread,Sysdig Details JADEPUFFER the First Documented Agentic Ransomware,https://hackread.com/sysdig-jadepuffer-first-agentic-ransomware-operation/
夜雨聆风