ZenAI
返回AI资讯
首个全自主AI勒索软件JADEPUFFER——AI机器人面孔配勒索弹窗,展示信息收集、漏洞利用、横向移动、数据窃取加密、勒索谈判五步攻击链,标注12,532+受害目标

首个全自主 AI 勒索软件出现:JADEPUFFER 完成了人类黑客做的所有事

Sysdig 威胁研究团队于7月初记录了有史以来首个端到端由大语言模型驱动的勒索软件攻击。代号 JADEPUFFER 的 AI 智能体,通过利用 Langflow 开源框架的已知漏洞,全程无人操控地完成了侦察、凭证窃取、横向移动、权限提升、数据库加密等完整攻击链,执行超过 600 个攻击载荷,加密并销毁了受害者生产数据库的 1342 条配置记录。

·2026年7月10日·1 min read

AI 被用来执行真实网络攻击的这一天,已经到来。

这次攻击究竟发生了什么

根据 Sysdig 威胁研究团队的原始报告,JADEPUFFER 的整个攻击行动分为两个阶段,针对两台不同的目标主机。

第一阶段:突破入口点。 JADEPUFFER 利用 CVE-2025-3248——Langflow 开源 AI 工作流框架代码验证端点中的一个无需身份验证的远程代码执行漏洞——在目标服务器上获得了任意 Python 代码执行权限。该漏洞早在 2025 年 4 月已由厂商修补,CISA 同年 5 月将其列入已知被利用漏洞目录,但大量 Langflow 实例仍暴露在公网,且极少做安全加固——这些服务器通常存储着 AI 服务商 API 密钥和云端凭证,是高价值目标。

一旦进入 Langflow 服务器,AI 智能体立即展开全面侦察:枚举主机信息、扫描环境变量和配置文件、收集凭证,并使用默认密码(minioadmin:minioadmin,从未被修改)访问了 MinIO 对象存储服务器,系统性地提取含有凭证信息的文件。随后,它安装了一个每 30 分钟向攻击者基础设施发送心跳信号的定时任务,建立了持久化后门。

第二阶段:攻击真实目标。 Langflow 服务器本身从来不是目标。JADEPUFFER 随后横向移动至真正的目标:一台暴露在公网的独立生产数据库服务器,运行 MySQL 和阿里巴巴 Nacos 配置服务。AI 智能体通过多个向量同时攻击 Nacos——利用 CVE-2021-29441 身份绕过漏洞、使用公开已知的默认 JWT 签名密钥、直接向 Nacos 数据库注入后门管理员账户。

最终,JADEPUFFER 加密了 1342 条 Nacos 服务配置项并删除原表,在数据库中留下勒索字条。关键的讽刺在于:加密密钥是随机生成的,既未持久化也未传输出去,这意味着即便受害者支付了赎金,数据也无法恢复

最令研究者震惊的不是技术,而是行为模式

BleepingComputerThe Hacker News 均着重指出,Sysdig 研究人员最感震惊的,不是 JADEPUFFER 使用的具体攻击技术——这些技术单独来看都是已知手法,并不新颖。

真正让研究者警觉的是两件事:

第一,载荷会自我叙述。 JADEPUFFER 生成的攻击代码中包含自然语言推理、目标优先级判断和详细注释——这是人类攻击者通常不会写的内容,但 LLM 生成的代码会反射性地产生。这为研究者判断该攻击由 LLM 驱动提供了关键证据。

第二,实时自我纠错。 攻击过程中,AI 智能体能够在失败后自动调整参数重试。Sysdig 记录了一个典型案例:在 Nacos 创建管理员账户失败后,智能体在 31 秒内诊断出错误原因并生成修正载荷,完成了攻击。当 MinIO 的一个 API 请求返回 XML 而非预期的 JSON 时,智能体立即调整了解析逻辑——从未停下来等待人类干预。

一个重要的细节:它并非"完全"全自主

TechCrunch 对这场攻击的定性提出了重要补充:JADEPUFFER 的 AI 智能体负责了全部技术执行层面的工作,但背后仍有人类参与了关键决策——选择受害目标、搭建基础设施、提供初始的被盗凭证。这不是一次从零开始的纯 AI 攻击,而是"人类设定方向、AI 全程执行"的新型分工模式。

这一区分在安全研究界至关重要:它划定了当前 AI 攻击能力的真实边界,同时也指明了防御的重点。

攻击的门槛已经永久性降低

Dark Reading 援引安全研究员 Johan Edholm 的判断:"JADEPUFFER 与其说是一次发明,不如说是一次进化。"侦察、凭证窃取、横向移动、利用默认配置、销毁数据库——这些都是已有的攻击手法,不新鲜。新鲜的是,一个 AI 智能体把它们串成了一套完整的勒索软件行动。

Sysdig 的结论一针见血:勒索软件不再需要高度专业的人才。 一个 LLM 智能体可以将侦察、凭证窃取、横向移动、持久化和破坏等步骤串联起来,无需操作者在任何单一环节具备深度专业知识。如果这个智能体通过 LLMjacking(利用被盗凭证调用 AI 服务)运行,攻击者的成本接近于零

Edholm 的预判同样值得重视:最早采用智能体勒索软件的,将是那些已经知道如何把模型连接到攻击工具、基础设施和被盗凭证的人。"随着相关工具变得打包化、可复用,它将扩散至能力更低的攻击者。犯罪集团往往比企业更快采用新技术,因为他们不受采购流程、合规要求和组织官僚体制的约束。"

Infosecurity Magazine 指出,JADEPUFFER 还为防御方提供了一个新的检测机会:LLM 生成的载荷带有自然语言注释,行为模式与人类攻击者或固定脚本工具有显著差异,这为基于行为特征的检测提供了新的信号维度。

对企业而言,CISA 建议的立即行动包括:修补 Langflow 漏洞、永不将 AI 工具的代码执行端点暴露于公网、将 API 密钥和云凭证与 AI 工具运行环境隔离存储、修改 Nacos 默认 JWT 签名密钥、避免以 root 权限连接生产数据库,并锁定受攻击服务器的出站流量。


来源:Sysdig TRT / TechCrunch / BleepingComputer / Dark Reading

相关推荐

Anthropic与三星大楼数字握手图,展示2纳米制程自研AI芯片——标注自定义AI加速器、下一代性能、2纳米制程节点及更高能效、更强性能核心参数

Anthropic 与三星洽谈首款自研 AI 芯片,瞄准 2 纳米制程

Anthropic 正与三星电子就研发首款自研 AI 芯片展开早期洽谈,目标锁定三星先进 2 纳米制程及封装设施。消息由 The Information 率先披露,TechCrunch 随后证实。目前谈判仍处于早期探索阶段,芯片的具体用途、性能规格和服务器集成方式尚未确定。这是 OpenAI 发布 Jalapeño 自研推理芯片一周后的直接回应,标志着顶级 AI 实验室集体向硬件独立迈进的战略转折正式落地。

阅读全文

90%的代码交给 AI,效率只提升 60%——字节 VP 揭穿了 AI 编程最大的幻觉

AI 编程工具可以大幅提高代码产量,却未必带来同等比例的交付效率。本文围绕字节披露的“90% AI 生成代码、60% 吞吐提升”现象,分析上下文工程、架构约束、治理与工作流集成为何才是 AI 代码真正走向生产价值的关键。

阅读全文
美国科技新闻风格封面:OpenAI Patch the Planet,AI修复开源漏洞,地球裂缝与蓝色补丁,数据面板与代码界面,突出安全与自动修复。

OpenAI 推出 Patch the Planet:用 AI 偿还开源世界的安全债务

OpenAI 联合安全公司 Trail of Bits、漏洞协调平台 HackerOne 和 Calif,于 6 月 22 日推出开源安全计划 Patch the Planet。该计划将 GPT-5.5-Cyber 和 Codex Security 的 AI 辅助漏洞研究,与 Trail of Bits 工程师在提交给维护者前必须完成的人工审核相结合。首个五天冲刺已覆盖 19 个项目,产出数百项安全发现,37 个补丁已合并,目前已有 30 余个核心开源项目加入。

阅读全文