
过去我们说"AI 会取代人",在网络安全这块,它先取代的是黑客手里的键盘。
上周末(2026年6月底),云安全公司 Sysdig 的威胁研究小组发了一条通报(CyberScoop 报道 https://cyberscoop.com/sysdig-judepuffer-ai-agentic-ransomware-attack/)。我看完第一反应是:我们这行用来提效的 Agent,第一次被用来干坏事了。
他们把这个案例命名为 JadePuffer,称它是"首个被记录的 agentic ransomware(自主代理式勒索软件)"。
过去我们聊 AI 安全,画面大概是有人用 ChatGPT 写钓鱼邮件,或者拿模型生成一段恶意代码。人还是主角,AI 只是工具。JadePuffer 不一样的地方在于——驱动整场勒索攻击的,是一个 LLM 驱动的 Agent。它自己规划步骤、自己调用工具、自己根据环境反馈调整策略,一路把攻击跑完。

等等,先别急着恐慌。我翻了 TechCrunch 的跟进报道,标题直接写了"still needed a human"——还是需要人(TechCrunch 原文 https://techcrunch.com/2026/07/06/the-first-ai-run-ransomware-attack-still-needed-a-human/)。这个 Agent 并没有独立作案:有几个步骤它没跑通,真正把攻击收口的,还是背后那个人。所以它不是科幻里的自主恶意程序,而是一个被人遥控、但中间大量环节自动化的攻击流水线。
它到底"自主"在哪
那它到底"自主"在哪?根据 Sysdig 和 CSO Online 的还原(CSO Online 原文 https://www.csoonline.com/article/4193195/this-ai-agent-autonomously-hacked-a-network-adapted-on-the-fly-and-demanded-a-ransom.html),这个 Agent 在一个叫 Langflow 的开源 AI 应用搭建工具上找到了漏洞,然后自己利用这个漏洞渗透进去。换句话说,攻击者把"怎么打"这件事,部分交给了 Agent 自己去决策。

换在三年前,一次勒索攻击要黑客手动敲几百条命令,一步步踩点、提权、加密。现在攻击者只需要把目标丢给 Agent,让它自己摸索路径。人没被取代,但人需要干的活,明显变少了。
攻击用上了 Agent,防守还靠人
所以真正让我在意的,不是"AI 第一次干坏事"这个噱头,而是它暴露出来的不对等:攻击者这边,已经把 Agent 用上了,攻击可以自主化、规模化;而防守这一边,大部分企业的安全运营还靠人盯着告警、手动响应。当攻击的边际成本被 Agent 压下去,防御的边际成本却没变,这个差,就是技术人接下来要付的代价。

还有一层更麻烦的。当 Agent 自己做了决策、自己发了攻击指令,出了事锅算谁的?是写 Agent 的人,是部署 Langflow 的你,还是背后下指令的那个人?这几天技术社区里正好有一篇文章在问"Who's to Blame When an AI Agent Messes Up"(Agent 搞砸了算谁的),JadePuffer 给了它一个很现实的注脚:现在没有现成答案。
对技术人来说,这件事最实在的提醒有两条。第一,你部署的开源 AI 工具(Langflow 这类)一旦有漏洞,不只是"被黑"那么简单,它现在可能成为别人 Agent 的跳板——你以为的提效工具,在攻击者眼里是入口。第二,如果你自己也在用 Agent 做自动化,得想清楚:它哪一步能自己拍板,哪一步必须你确认。JadePuffer 证明,Agent 自己"临场发挥"的能力,已经够干实事了。
转给你身边还在把 Langflow、Dify 这类工具直接暴露在公网上的同事——他可能还没意识到,自己搭的"AI 应用"已经进了黑客的靶场。
你觉得,Agent 自己犯的错,最后该由谁来买单?
夜雨聆风