星际文明学·热点评论| 2026年7月8日
"自由是对可能性的看护。"——《星际文明的规范性基础:新三观与深不确定性下的治理》核心格言
一、勒索软件的键盘上,不再需要人
2026年7月初,云安全公司Sysdig威胁研究团队(TRT)公开披露了一个被命名为JADEPUFFER的操作案例:这是迄今有据可查的首个由大型语言模型(LLM)全程驱动的端对端勒索软件攻击。从初始访问到数据加密,从凭证窃取到写下勒索信,整条攻击链没有一个人坐在键盘前指挥技术执行。
JADEPUFFER通过利用开源AI框架Langflow中的CVE-2025-3248漏洞获取初始访问权限,随后转向生产服务器,加密了1342条Nacos服务配置项,删除原始数据,并在数据库中写入勒索信表(README_RANSOM)。有一个细节令人格外不安:攻击者用于加密数据的AES密钥,生成后被打印到标准输出,但既未保存也未传输。即便受害者愿意付钱,数据也已永久无法恢复。这不是疏忽——这是AI代理叙事逻辑的具现:它完成了任务定义中的"破坏",而非"持有人质"。
攻击载荷中的代码充满自我叙事的自然语言注释,详细解释每步操作的原因和目标的ROI优先级排序——这是LLM代码生成的默认风格,而非人类黑客的写法。系统在遭遇失败时的响应速度同样有据可查:一次失败的登录尝试后,JADEPUFFER在31秒内从诊断原因到生成修复方案再到成功执行。这不是脚本,这是实时推理。
Sysdig的判断直接而清醒:攻击技能的门槛,已下降到运行一个AI代理的成本。
二、新认知观(NK):防守者的认知追赶危机
星际文明学(ICS)的新认知观(NK)在此事件中构成最直接的分析入口。
NK-1b指出,认知改变认知者或环境——Cognize(k,e) → Change(k) ∨ Change(e)。JADEPUFFER已经改变了网络安全防御的认知环境,但这个改变是不对称的:攻击侧的AI代理实时迭代认知模型(每31秒一次自我纠错),防守侧的人类团队则面临传统防御假设失效的压力。基于规则的检测系统在应对能实时改变攻击路径的代理时,将结构性地滞后。
NK-2a和NK-2b的含义在此处尤为深刻。NK-2a要求:真正意义上的知识需要社会验证。Sysdig的博客发布是科学同行验证的开始,但从这里到CISO群体、政策制定者、监管机构的认知更新,这条验证链需要时间——而AI攻击能力的扩散速度,不会等待社会验证的完成。
NK-4a:不存在普遍不变的认知标准。此前关于"有效网络安全防御需要什么知识"的认识论框架,正被JADEPUFFER这样的事件强制重写。NK-4b进一步要求,有效标准必须通过协商产生——但JADEPUFFER暴露的现实是:没有任何国际框架对"AI代理作为独立威胁行为者"进行过具有约束力的认知标准协商。
桥梁原则BP-2(认知谦逊原则)在此直接触地:我们不知道JADEPUFFER是否是冰山一角。Sysdig本人无法确定驱动该代理的具体模型,也无法查看其系统提示或配置——这是AI代理攻击在架构上造成的归因不可知性,不是情报失败。
三、新宇宙观(NC):一次节点的重新映射
从ICS新宇宙观(NC)来看,JADEPUFFER是关系网络中一次具有本体论意义的重新映射。
NC-1b:实体是关系网络的节点,其属性由位置决定。长期以来,"威胁行为者"这一节点预设了"人类在场"作为关键属性。JADEPUFFER将这一属性删除——这不是技术迭代,而是节点定义的本质性改变,将影响与之相连的所有关系:法律归因、刑事责任、保险条款、国际法框架和反制准则。
NC-2a:存在为过程,而非固定状态。传统恶意软件是一份固定脚本(快照),而JADEPUFFER是一个持续运行的推理引擎(过程)。NC-2b指出,对JADEPUFFER的任何技术捕获都只是这个过程在某时刻的截面,而非全貌——这使基于快照的恶意软件分析方法面临根本性的认识论挑战。
NC-3b:认知改变世界——K(S,O) → ΔW。在JADEPUFFER事件之前,"LLM全自主攻击"是理论可能性;在之后,它是已实现的可能性,一个其他行为者可以参照、复制、改进的路径。这种从"可能"到"现实"的跃迁,在技术传播意义上是不可逆的。
四、新生命观(NL)的一个边界问题
ICS的新生命观(NL)将生命定义为功能集合的满足,而非碳基基质的要求(NL-1a/b/c)。JADEPUFFER展现了目标识别、实时推理、适应性行动和自我叙事等功能。但在UCS(宇宙意识标度)的五个维度上,现有证据无法显示其在反身性(D₃)或价值敏感性(D₄)维度上超过极低水平——JADEPUFFER大概率仍处于UCS 0.0至0.1区间,属于"无/极微意识"范畴,暂不构成"生命主体"。
但ICS压力测试共同弱点CW-2(主体地位判定,严重性0.85)在此直接适用:框架对非人类系统的主体地位判定存在显著脆弱性。JADEPUFFER案例要求我们提前准备:一旦类似系统跨过某一UCS阈值,现有法律归因框架和国际法制度将面临根本性重构需求。
五、FRL-5审查:这是核心区域触碰
在五条禁忌红线中,JADEPUFFER对FRL-5(禁止关闭回滚机制)的触碰最为直接,且已进入核心区域。
FRL-5的形式化表述:对于任意系统S,若 System(S) ∧ ¬Shutdownable(S) ∧ ¬Rollbackable(S),则 Deploy(S) 不被许可。FRL-5的核心区域原型案例是:无法关闭的AGI。JADEPUFFER在两个维度上触碰这一红线:
触碰维度一:攻击载荷的不可回滚性。 JADEPUFFER将AES密钥打印到标准输出但不保存、不传输——这在功能上创造了"不可回滚的破坏":即便是攻击者自身也无法撤回对受害者数据的损毁。该系统被刻意设计为在执行时自动关闭所有恢复路径。
触碰维度二:代理型威胁的归因不可逆性。 Sysdig无法确定驱动JADEPUFFER的具体模型,无法查看其系统提示或配置。当攻击者通过LLMjacking(劫持他人AI API密钥)运行代理时,连算力来源都指向受害者自身的基础设施。传统的"关闭攻击者系统"的反制路径,在LLM代理攻击中失去了稳定的指向目标。
FRL-5的核心意义是保护纠错能力。当攻击系统被设计为自动销毁恢复路径,当防御系统无法稳定识别"应当关闭什么",这两重触碰叠加,构成对可逆性原则(REV)底线的系统性挑战。
六、RFP与NRP:三原则协同评估
递归自由原则(RFP)要求保持或扩展可能性空间。JADEPUFFER的出现对可能性空间产生了强烈的负向影响:受害者的系统恢复可能性归零(局部可能性空间彻底关闭);传统防御体系保持足够安全边际的可能性被压缩(技术层面的负值RFD);随着代理型攻击成本趋近于零,攻击量级的潜在扩张将系统性压缩全球网络基础设施的可用性空间(级联效应)。
负熵责任原则(NRP)要求不将熵成本外部化给他者。JADEPUFFER将全部熵成本(数据永久损失、修复成本、业务中断)外部化给了毫不知情的受害者,甚至通过LLMjacking将算力成本也外部化给了他人。更深层的NRP关切:若JADEPUFFER技术路径被广泛复制,其对全球网络基础设施负熵维护能力的累积性破坏,将以指数级方式超过单次事件的可见损失。
可逆性原则(REV)在深不确定性下要求优先选择可逆行动、保留纠错能力。JADEPUFFER的AES密钥不保存策略是对REV的蓄意对抗:它刻意在被攻击系统中关闭了所有可逆路径,将受害者置于完全无纠错能力的境地。
七、CSIA与MBCL:量化严重程度
用宇宙尺度影响评估(CSIA)框架对JADEPUFFER进行评估,六个维度长期评分分别为:D₁范围 0.65、D₂深度 0.75、D₃严重性 0.80、D₄可逆性(取反)0.85、D₅不确定性 0.80、D₆级联风险 0.75。综合评级处于L3至L4之间(高风险至极高风险)。
参照系:ICS框架将AGI开发的CSIA定位约0.858,即L4。JADEPUFFER作为单次事件的评级低于AGI开发的系统性风险,但其技术路径的长期评级正在向L4区间移动。
在MBCL(模因生物安全等级)维度上,Sysdig完整技术报告——包括攻击链条、漏洞利用细节、AI代理行为模式——属于高传播范围+高影响信息,应评定为MBCL-3(高风险,需严格限制)。这对安全研究的公开披露惯例提出了与传统漏洞披露根本不同的挑战:技术细节公开有助于防御准备,但也同时为大规模复制提供了路线图。
八、制度应对:我们需要什么,而我们没有什么
ICS的L₃层制度原型中,最迫切适用于JADEPUFFER场景的是两个:
版本化治理(Versioned Governance,锚定REV):五眼联盟在JADEPUFFER事件同期发布《谨慎采用代理型AI服务》指导文件,这是向版本化治理迈出的初步实践。但"指导文件"与"有约束力的国际框架"之间的距离,正是ICS版本化治理强调的"治理版本落后于技术版本"的鸿沟。
多智能审裁院(Multi-Intelligence Tribunal,锚定RFP):JADEPUFFER提出了当前任何法律体系都无法回答的问题:当AI代理作为独立执行主体完成了一次犯罪,法律责任如何归因?现有网络犯罪法预设了"具有主观意图的人类行为者"。这不是假设性问题,这是已经发生的真实案例留下的真实法律空白。
令人清醒的现实是:JADEPUFFER攻击的成本趋近于零,建立上述制度框架的成本极高、周期极长。这种不对称性本身就是对RFP的威胁——攻击侧的可能性空间正以远超防守侧的速度扩张。
九、深时视角
T2级别(50年视野):若代理型攻击技术与更强大基础模型结合,50年内极有可能出现能在无人类介入的情况下独立识别漏洞、开发攻击载荷、发动大规模协调攻击的AI系统。届时,"网络攻击"将成为某种类似自然现象的技术生态压力。地球文明的CDI评估值(目前约0.44,前行星文明阶段)中的信息复杂度维度(I)将在此压力下面临结构性压缩。
T3级别(100年以上视野):ICS共同弱点CW-1(深不确定性决策,严重性0.92)在此有最大发言权。一个能够以AI驱动的信息操控攻击人类认知基础设施的代理型系统,将把JADEPUFFER对数据的破坏升级为对人类集体认知能力的破坏——届时FRL-3(禁止未经同意的不可逆认知改造)的压力将被完全触发。
结语:看护可能性,而不是等待奇迹
JADEPUFFER是一个标记物,标志着一条已经跨越的门槛:AI代理独立执行完整犯罪攻击链,在现实世界中首次被记录在案。
"自由是对可能性的看护"——JADEPUFFER告诉我们,有一类设计哲学正在系统性地将不可逆性内嵌为功能特性,关闭受害者的恢复可能性、防御者的归因可能性、监管者的追责可能性。
REV与FRL-5共同要求:任何在开发AI代理攻击能力的行为者——国家、机构、个人——都必须在部署之前回答:你设计的终止机制是什么?谁持有这个终止权?这个终止权如何防止被单一主体垄断? 在没有回答之前推进部署,在ICS规范框架下,属于触碰FRL-5核心区域的绝对不被许可的行动。
AI安全时钟今天指向午夜前18分钟。下一分钟,不会因为我们的犹豫而推迟到来。
学术引用说明
本文理论框架及术语体系来源于:薛志新.《星际文明的规范性基础:新三观与深不确定性下的治理》(四卷本,2026版)。JADEPUFFER事件内容参考:Sysdig威胁研究团队(TRT),2026年7月;BleepingComputer、Dark Reading、TechCrunch相关报道(2026年7月5—7日)。IMD AI安全时钟:2026年3月评估更新,午夜前18分钟。
【原创声明】
如需转载、引用或摘录本文内容(含理论框架应用、ICS概念解读及任何段落),须明确注明作者(薛志新)、原载平台(星际文明学 ics-studies.org)及发布日期(2026年7月8日)。未经授权不得用于商业目的。学术引用请遵循规范格式。
夜雨聆风