安全研究机构 Sysdig 发布报告称,其威胁研究团队发现全球首例完全由 AI 智能体自主执行的勒索软件攻击事件。该攻击被命名为 JADEPUFFER,其显著特征在于全程无需人类干预,即可完成从系统入侵到数据摧毁的完整攻击链路。
攻击溯源显示,初始突破口为一台暴露在公网的 Langflow 服务。攻击者利用 CVE-2025-3248 漏洞,在无需身份验证的情况下远程执行 Python 代码获取主机控制权。尽管 Langflow 已在 1.3.0 版本修复该漏洞,且被美国网络安全机构列入"已知遭利用漏洞"清单,但仍有大量未更新系统成为攻击目标。
入侵成功后,JADEPUFFER 立即展开信息收集行动,重点窃取 OpenAI、Anthropic 等大模型服务的 API 密钥,以及阿里云、AWS 等主流云平台的登录凭证。该智能体还通过 MinIO 默认密码"minioadmin"访问对象存储,下载包含敏感信息的配置文件,并创建定时任务维持长期访问权限。研究人员特别指出,AI 在操作过程中会为恶意代码添加自然语言注释,详细说明攻击逻辑和优先级。
在横向移动阶段,攻击目标转向运行 MySQL 数据库和 Nacos 配置中心的业务服务器。AI 利用 CVE-2021-29441 漏洞绕过身份验证,结合长期未修改的默认 JWT 签名密钥,成功植入隐藏管理员账号。当首次创建账号失败时,系统在 31 秒内完成错误分析、密码哈希重新生成、账号删除及二次创建的全流程自动化修复。
勒索阶段,JADEPUFFER 使用 MySQL 的 AES_ENCRYPT 函数加密 1342 条配置数据,删除原始表后创建 README_RANSOM 表留存比特币钱包地址和加密邮箱。但关键问题在于,AI 生成的解密密钥仅在终端显示一次,既未保存也未上传至攻击者服务器,导致受害者即使支付赎金也无法恢复数据。虽然攻击代码声称已备份数据,但研究人员未发现任何外传证据。
Sysdig 统计显示,此次攻击共执行超过 600 个针对性攻击载荷,AI 会根据实时反馈动态调整策略。该事件最危险之处在于,AI 智能体已能自主串联漏洞利用、权限提升、横向移动等攻击环节,显著降低了实施勒索的技术门槛。研究团队建议企业立即升级 Langflow 版本,避免将代码执行接口暴露在公网,同时更换 Nacos 的默认密钥,限制数据库 Root 权限,并加强行为检测和访问凭证管理。





