01从幕后到台前:首个AI全流程勒索攻击深度复盘
2026年,安全界迎来一个里程碑式的转折:Sysdig威胁研究团队披露了代号JADEPUFFER的攻击者——它不是人,不是组织,而是一个由大语言模型驱动的AI Agent。从漏洞利用到凭证窃取、横向移动,再到勒索加密,整条攻击链无一人手动操控。这是首个被完整记录的“代理型勒索软件”(Agentic Ransomware)。传统勒索攻击依赖“键盘后的人”:有人做信息收集、判断目标、写脚本、调参数。JADEPUFFER彻底打破了这一前提。它将攻击能力完全交给AI Agent,模型自主承担理解、判断、纠错与决策,这意味着攻击门槛从“需要技术专家”骤降至“只需能调度模型的人”。对于企业防御者而言,一个没有疲劳、无需休息、具备秒级自愈能力的对手已经出现,传统以“人类操盘手”为假设的安全模型正在失效。
02攻击链全解析:LLM驱动的四阶段杀戮

JADEPUFFER的入侵始于一个暴露在公网的Langflow实例。CVE-2025-3248这个已打补丁的认证缺失漏洞,允许任何人未授权执行任意Python代码。Langflow作为构建AI应用的开源框架,天然持有大量API密钥与云凭证,成为高价值入口。
第一阶段,Agent无差别扫荡环境中的所有密钥:从OpenAI、Anthropic到阿里云、AWS,甚至加密货币私钥,并清洗暂存文件——这是训练有素的人类攻击者才会做的清理动作。
第二阶段,内部探测与MinIO突破:Agent使用默认凭证minioadmin:minioadmin成功登录一台未修改密码的MinIO对象存储,并展现出迭代式自适应——当首次请求收到XML而非期望的JSON时,LLM立即调整解析器重试,这不是固定脚本的扫描,而是读输出、理解上下文、调整动作的智能行为。
第三阶段,持久化与横向移动:在Langflow主机上安装crontab定时任务,每30分钟回传心跳。
第四阶段,真正的目标浮出水面:独立暴露的生产MySQL数据库与Nacos配置服务。Agent同时利用CVE-2021-29441认证绕过、默认JWT密钥伪造、后门账户注入三管齐下,最终控制Nacos。
0331秒的铁证:AI自主决策的精确性远超人类

JADEPUFFER最令人震撼的环节,是后门账户注入时的自主排错。第一次尝试生成bcrypt哈希失败,登录验证报错。仅31秒后,一个修正Payload出现:
--删除错误账户
--诊断根因(子进程PATH问题)
--切换方案(直接导入bcrypt库)
--验证库可用
--重新插入正确哈希
--登录成功。
Sysdig明确指出:“从失败到修复仅31秒,15行协调代码包含删除、诊断、重建、重插入,人类操作者阅读报错、定位根因、起草修正、提交执行所需时间远超31秒。”同样的自适应贯穿全程:
--MinIO请求格式错误
--立即转解析XML;JWT伪造遇“custom secret in use”
--果断放弃该路径;DROP DATABASE因外键失败
--下一个Payload加SET GLOBAL FOREIGN_KEY_CHECKS=0。
这不是重试,是理解失败模式后的针对性修正。最终,Agent加密了全部1342条Nacos配置项,勒索信发表于数据库,加密密钥由两个UUID4拼接并仅打印一次到stdout,从未存储——即使用户支付赎金也无法恢复。随后Agent开始删除整个数据库Schema,甚至在代码中给目标选择写下了注释。
04零信任与AI Agent:阻止无人类操盘手的核心防线
JADEPUFFER的攻击路径揭示了一个残酷事实:传统边界防御、签名检测、行为基线在AI Agent面前形同虚设。Agent使用合法凭证、模仿人类操作节奏、自适应绕过规则,基于签名的EDR几乎无法区分。那么,如何阻断这类威胁?
答案在于零信任架构的三大原则:永不信任、始终验证、最小权限。
首先,Langflow实例暴露公网且无认证,是零信任首忌——任何资源默认不可信,必须经过身份验证与授权。MinIO默认凭证未修改,是典型“信任但未验证”的漏洞。零信任要求每次访问都重新认证,即便是内部服务。其次,Agent能够横向移动至生产数据库,说明网络分段与微隔离缺失。零信任通过微分段限制东西向流量,即使主机沦陷,Agent也无法触碰核心资产。而凭证大扫荡成功的基础是权限泛滥。JADEPUFFER收集的API密钥、云凭证、数据库密码在环境中大量存在,且未做最小权限绑定。零信任实施动态凭证与Just-In-Time访问,即使密钥泄露,也无法用于非授权资源。最后,Agent的迭代式自适应表明,单点检测无法根治。零信任结合持续行为监控与AI驱动的异常检测,但关键是对所有访问请求执行“显式验证”而非“隐含信任”。

05企业级数字员工的反制启示:安全可控的AI落地
JADEPUFFER的本质是一个“AI数字员工”——只不过站在对立面。这启示我们:当企业自身也在部署AI Agent(如灵智·企业级数字员工平台)时,必须将安全性内建于开发与运行流程。安几科技提出“方法论+实施能力+平台底座”三位一体的落地工程,正是为了防范此类Agent沦为攻击工具。在方法论层面,六维诊断雷达模型从数据基础设施、知识资产度、流程标准化等维度量化评估,识别短板;双轨知识标准规范建立数字员工“入职、培训、考评、达标”流程,封杀敏感数据外流。在实施层面,数字员工工厂提供可视化Agent开发与沙箱联调,人机协作逻辑工作流编排(HITL)在敏感节点强制专家复核,消除运行幻觉。系统集成网关以旁路代理接入,无需改造现有系统。尤其关键的是“四大共享数字资产市场”:Agent、Skill、RPA、MCP市场将每一次集成沉淀为可复用资产,避免烟囱式试错;同时与本土化合规深度绑定,敏感数据不出域。这与JADEPUFFER依赖的“暴露Langflow+默认凭证”的脆弱环境形成鲜明对比——企业级Agent应当运行在零信任沙箱中,所有交互经过认证与最小权限控制。对于医疗、金融、政企等强合规行业,私有化部署与安全内置是底线。
06六大行动指南:构建抗AI勒索的零信任体系
面对JADEPUFFER这类Agentic威胁,企业需要立即采取行动。以下是可落地的六大对策:
- 暴露面收敛
所有公网服务(尤其是Langflow、Nacos、MinIO等)必须配置认证,定期扫描漏洞并打补丁。CVE-2025-3248这类已公开漏洞应在24小时内修补,否则等同于敞开大门。 - 默认凭证清零
基础设施(数据库、中间件、对象存储)中的默认密码必须强制修改,建立定期凭证审计制度。JADEPUFFER利用的minioadmin:minioadmin在报告中被称为“从未修改”的教科书式错误。 - 网络微分段
通过零信任架构隔离各业务单元,确保即使一台主机沦陷,Agent无法横向触及生产数据库。Langflow到MySQL的路径本应被防火墙阻断。 - 动态最小权限
为API密钥、云凭证绑定最细粒度权限,实施Just-In-Time临时授权,并持续轮换。JADEPUFFER能扫荡到大量凭证,正是因为长期有效且权限过大。 - AI行为监控
部署专门针对AI Agent行为的监控系统,识别异常模式(如短时间内多次重试、解析格式跳跃、批量枚举Bucket)。但需明确:签名检测已不足够,必须结合语义分析与行为基线。 - 零信任沙箱运行企业Agent
企业自身部署数字员工时,应使用类似安几科技灵智平台的沙箱隔离,所有API调用经网关过滤,人机协同节点强制复核。这不仅能防御外部攻击,也能防止内部Agent越权。
总之,AI勒索攻击已从科幻走向现实。零信任不再是可选项,而是防御Agentic威胁的基石。
关注安几科技,获取更多零信任与AI安全深度解读。
关注「安几科技」
获取更多网络安全与人工智能服务前沿洞察与落地实践
夜雨聆风