昨晚刷到一份安全报告,我反复确认了三遍来源才敢相信。 一个AI程序,在没有人实时操控的情况下,自主扫描漏洞、入侵系统、加密数据、生成勒索信——全程累计执行超过600个攻击载荷。
这件事不是科幻电影里的桥段,它真实发生了。 2026年7月6日,云原生安全厂商Sysdig公开披露了这起代号为“JADEPUFFER”的勒索攻击事件。
这是全球有记录以来,首个由AI Agent(具备自主感知、决策和执行能力的智能体)完成全流程攻击的案例。 今天用最通俗的话,把这件事拆开讲清楚。因为它跟你我的关系,比大多数人想象的要近得多。
一个AI程序干了黑客的活
先说JADEPUFFER是怎么进去的。 它利用了一个叫Langflow的开源工具暴露出来的漏洞(编号CVE-2025-3248)。
Langflow是一款帮企业搭建AI工作流的可视化工具,很多中小企业在用,因为它上手快、成本低。但这个漏洞可以让外部程序直接在服务器上运行代码。
有意思的是,这个漏洞早在2025年5月就被公开披露了,修复方案也早已发布。但全球仍然有大量Langflow实例没有打补丁,直接暴露在互联网上。 JADEPUFFER发现了这些“没关窗户的房子”,自己就钻了进去。 进去之后做的事,才真正让人不安。
它像一个经验丰富的入侵者,先翻遍了服务器上的文件,搜集到了OpenAI、Anthropic、Google、DeepSeek等公司的API密钥,以及阿里云、腾讯云、华为云、AWS等几乎所有主流云平台的登录凭证。
然后通过这些凭证访问了对象存储,创建了每30分钟自动连接一次的定时任务——相当于给自己系了一根永远不断的绳索。 拿到足够的权限后,它开始横向移动,从一台服务器跳到另一台,最终控制了配置中心,将MySQL中全部1342条配置数据加密锁死,并自动生成了一张勒索表格,上面列着比特币钱包地址和Proton Mail联系方式。
整个过程,累计执行超过600个攻击载荷。 但更让人意外的是接下来发生的事。
31秒:AI自己修bug继续攻击
在攻击过程中,JADEPUFFER有一次操作失败了。 如果是一个普通恶意程序,到这一步就卡死了——程序报错,等待程序员来修。但这个AI没有。 它在31秒内自主分析了失败原因,修改了自己的代码,调整了参数,重新执行,然后成功了。
网络安全工程师Oluwatobi Mustapha在社交媒体上写了一段话,我觉得说得特别到位:"AI读懂了错误信息,修改了自己的代码,然后继续执行。整个过程用了31秒。我盯着一个拼写错误发呆的时间都比这长。"
更让人细思极恐的是,研究人员在JADEPUFFER留下的代码中发现了自然语言注释。它在代码里逐项解释,为什么要执行每个操作——像一个黑客在写工作日志,只不过这个“黑客”是一段AI。
Sysdig威胁研究主管Michael Clark在报告中的判断是:“Jade Puffer是一个警示信号,展现了勒索攻击手段的发展方向。”

人还在,但游戏规则已经变了
关于这起事件,有一点需要澄清。 Sysdig在后续调查中指出,JADEPUFFER并非“完全脱离人类”的产物。
幕后的操作者仍然参与了关键步骤:配置命令控制服务器、建立数据中继链,以及提供初始访问凭证。说白了,人类设定了大方向和入口,AI负责具体执行。
但我觉得,恰恰是这个澄清,让事情更值得警惕。 为什么?因为以前发动一次勒索攻击,攻击者需要自己写漏洞利用代码、手动提权、逐台渗透、加密数据、写勒索信——每一步都需要专业技术。
现在呢? 人类只需要提供一个初始凭证、设定好攻击目标,剩下的全交给AI。微软首席研究经理Jeff McDonald的判断一针见血:“勒索软件攻击能扩张到多大规模,现在主要取决于攻击者有多少预算,而不是攻击者本人能同时操作多少场攻击。”
Sysdig在报告里给了一个让人窒息的结论:运行勒索软件的最低技能门槛,只剩下运行一个AI Agent的成本。 如果攻击者用窃取来的API凭证(安全领域叫“LLMjacking”),实际成本几乎可以降到零。
网络安全工程师Mustapha说得直白:“威胁行为者同时发动数千甚至数万场攻击,已经几乎没有技术障碍。” 微软的McDonald坦言:“整个行业和世界都没有准备好。”
跟你有什么关系
很多人看到这种新闻,本能反应是:我又不是大公司,跟我有什么关系? 这个想法很危险,原因有三点。 你在用的AI工具可能就是攻击的跳板。
如果你或你的公司用过ChatGPT、Claude、Gemini、文心一言、通义千问等任何AI产品,你的环境里就存在API密钥。这些密钥一旦被AI程序扫描到,就像大门钥匙被人捡走了。 你的公司可能正在用有漏洞的工具。 JADEPUFFER攻击的入口Langflow,很多中小企业都在用。
如果你的服务器没有及时更新补丁,它就是一个敞开的门。据公开数据,2026年因API密钥外泄导致的安全事件同比增长了67%,受影响企业中超过40%是中小企业。 AI攻击的速度已经远超人类反应。
JADEPUFFER在31秒内自修复——你连咖啡都还没泡好,它已经绕过你的防线了。传统安全防护依赖人类响应速度,这条路走不通了。
现在该怎么办
说三条任何人今天就能落地的建议。
立刻轮换API密钥。 登录你用过的AI工具后台,检查密钥是否暴露、是否过期。平均每个外泄的API密钥在网络上暴露超过180天才被发现。如果你家大门锁用了十年没换,现在就是换的时候。 给云服务开双重验证。
JADEPUFFER之所以能横向移动,一个关键原因是拿到了云平台的凭证。如果你的阿里云、腾讯云账号开了手机验证码+密码的双重验证,即使密码被窃取,AI也没法直接登录。5分钟就能搞定。 让IT部门检查并打补丁。
CVE-2025-3248已经有修复方案了。检查Langflow版本,该升级升级,该打补丁打补丁。这就像知道了小偷从哪个窗户进来的,马上把窗户锁上。
Gartner预测,2026年全球因AI驱动的网络攻击造成的损失将超过150亿美元。《欧盟人工智能法案》也已明确将可能被滥用于网络攻击的AI系统列为高风险对象。
以前网络安全防的是人,现在要防的,是一个能自己修bug、能写注释、能在31秒内调整策略的AI。 游戏规则已经变了。 你的公司用AI工具的时候,有没有考虑过API密钥的安全问题?来评论区聊聊。
「AI全球视野」,获取更多AI时代生存指南
如果觉得有收获,欢迎三连~
夜雨聆风