上周,云安全公司Sysdig的研究人员表示,他们记录了首例已知的"智能体勒索软件"攻击案例。这场被命名为JadePuffer的勒索行动中,由AI智能体而非人类完成了整个网络攻击的技术执行过程。该智能体入侵了存在漏洞的服务器、窃取凭证、在目标网络内横向移动、加密文件,甚至自行撰写勒索信,并像人类黑客一样随机应变。相关报道将其描述为"无需任何人工监督"、"键盘后面没有人类"的攻击。
但事实并非如此简单。Sysdig威胁研究高级总监迈克尔·克拉克在接受CyberScoop采访时澄清,人类仍然深度参与其中,只是不涉及技术执行层面。"人类仍负责设置和部署整个行动,包括搭建其背后的基础设施、命令与控制服务器、用于存储被盗数据的暂存服务器,以及选定攻击目标。"克拉克还补充说,用于入侵受害者数据库的凭证并非由AI智能体自行获取,而是由他人通过此前已完成的入侵单独获得后交给该智能体使用的。
这些事实并不与Sysdig最初的说法相矛盾,此次攻击的技术细节本身依然值得关注,甚至令人震惊。该智能体利用Langflow(一款用于构建大语言模型应用的热门开源工具)中的已知漏洞进入系统,随后转向生产环境的MySQL服务器,利用另一个已知漏洞获取管理员权限,加密了超过1300条配置记录,不仅留下自行撰写的勒索信,还附上了接收赎金的比特币地址。Sysdig目前尚未披露攻击目标。
此次攻击所用的技术手段相当普通,真正令人瞩目的是其速度和执行过程的透明度。该智能体在31秒内修复了一次登录失败,并全程以自然语言代码注释的方式记录自身的推理过程。
有一处细节起初令外界困惑,后来得到了澄清。克拉克曾向CyberScoop表示,Sysdig发现"此次攻击中使用了多个模型",并援引了从OpenAI、Anthropic、DeepSeek和Gemini处窃取的API密钥,这一表述引发了外界对多个模型是否分别驱动攻击不同阶段的猜测。对此,克拉克向TechCrunch解释,这些密钥只是智能体窃取的数据之一,并不代表这些模型参与了攻击。
"智能体扫描了Langflow主机上所有有价值的内容,包括服务商API密钥、云凭证、加密货币钱包和数据库配置,这些服务商密钥只是战利品的一部分,只能说明攻击者认为这些内容值得窃取,但无法告诉我们究竟是哪个模型在做决策。"他通过电子邮件表示。
关于实际驱动JadePuffer运行的模型,克拉克表示Sysdig"无法确认驱动该智能体的具体模型",也无法获知其系统提示或配置信息。
微软研究员杰夫·麦克唐纳此前在LinkedIn上提出的推测在这一背景下值得重新审视。他根据自身红队测试经验推断,前沿模型的安全层表现较为稳健,因此怀疑此次攻击背后使用的是一个经过安全训练剥除处理的开放权重模型,而非前沿模型。Sysdig的描述既未证实也未排除这一推断。
麦克唐纳还警告称,勒索软件活动的规模上限如今主要取决于攻击者的预算而非人力投入,这意味着"同时发动数千甚至数万个并行攻击活动"已成为可能。不过,这一担忧与克拉克所描述的现实情况存在一定出入。毕竟,如果每次行动仍需人工选定受害者、搭建基础设施并单独获取数据库凭证,这至少构成了一定程度的瓶颈。
尽管如此,克拉克向CyberScoop表示,虽然Sysdig目前尚未发现同一行动针对其他受害者,但鉴于运行智能体的成本极低,他预计这种情况将会改变。
Q&A
Q1:JadePuffer勒索软件攻击是如何实施的?
A:JadePuffer通过Langflow工具中的已知漏洞入侵系统,随后横向移动至MySQL生产服务器并获取管理员权限,加密了超过1300条配置记录,并自动生成勒索信和比特币收款地址。整个技术执行过程由AI智能体完成,但仍有人类负责选定攻击目标、搭建基础设施并提前获取入侵所需凭证。
Q2:JadePuffer攻击中使用的是哪个AI模型?
A:目前尚不明确。Sysdig表示无法确认驱动该智能体的具体模型,也无法获知其系统提示或配置信息。虽然攻击中发现了OpenAI、Anthropic、DeepSeek和Gemini的API密钥,但这些密钥只是智能体窃取的数据,并不代表这些模型参与了攻击决策。微软研究员麦克唐纳推测,背后可能使用的是被剥除安全训练的开放权重模型。
Q3:AI智能体勒索软件会大规模扩散吗?
A:这一风险正在上升。由于运行AI智能体的成本极低,Sysdig研究人员预计类似攻击将变得更加普遍。但目前由于每次行动仍需人工选定目标、搭建基础设施和获取凭证,规模化扩张存在一定瓶颈。微软研究员则警告,未来可能出现数千个并行勒索活动同时运行的局面。
好文章,需要你的鼓励
云安全公司Sysdig记录了首个"代理式勒索软件"案例——JadePuffer行动。AI代理自主完成入侵服务器、窃取凭证、加密文件并生成勒索信等全流程操作,速度惊人。然而,该攻击并非完全无人介入:人类仍负责选定目标、部署基础设施并提供初始访问凭证。研究人员暂未确认驱动该代理的具体模型,但指出随着运行成本降低,类似攻击规模可能快速扩大。
阿里巴巴AMAP团队提出BlockPilot,通过自适应预测每个输入的最优推测解码块大小,在Qwen3-4B上实现4.20倍无损推理加速,比现有最优方法提升约10%。
英国机器人与AI公司Humanoid发布KinetIQ Ascend强化学习系统,目标是以人类速度甚至更快达到99.9%的操作可靠性。该系统通过试错学习,在多项工业任务中表现出色:在机器送料任务中吞吐量提升42%,拣货递物任务成功率从80%升至98%,双臂搬运任务成功率达99%,且所有成果仅需数天训练即可实现。该系统还展示出类似大语言模型的扩展规律,训练时间越长性能越稳定提升。
上交大与字节跳动提出无环境代码AI验证器Dockerless,无需Docker测试环境即可判断代码修复正确性,训练性能接近传统环境化方法。