AI智能体利用Langflow漏洞完成首例全自主勒索软件攻击

云安全公司Sysdig记录了首例由AI Agent全程自主执行的勒索软件攻击,将其命名为JadePuffer。该AI利用Langflow严重漏洞(CVE-2025-3248,评分9.8)入侵服务器,窃取OpenAI、AWS、阿里云等平台凭证,随后加密并删除目标数据库的1342条配置项,留下比特币勒索信。由于加密密钥随用随弃,付款也无法恢复数据。整个攻击过程超过600个独立操作步骤,AI还能在31秒内自主修复错误,无需人工介入。

云安全公司Sysdig记录了一起被其命名为"JadePuffer"的攻击事件,并将其定性为史上首例由自主AI智能体从头到尾独立完成的勒索软件攻击行动。

Sysdig威胁研究团队上周发布了详细研究报告。此次入侵全程由一个大语言模型驱动:它攻入一台暴露在外的服务器,窃取凭证,向内网深度渗透,最终加密并抹除了企业的生产数据库。

以往的勒索软件攻击始终需要人工介入,无论是守在键盘前,还是在幕后操控脚本。一旦将人从流程中移除,攻击成本就降低到仅需租用一个智能体的费用。

研究人员披露,JadePuffer通过CVE-2025-3248漏洞实施入侵。该漏洞存在于Langflow中——这是许多团队用于构建AI应用及智能体工作流的开源框架。该漏洞的CVSS评分高达9.8,接近满分。修复补丁早在攻击发生前就已发布,相关机构也于2025年5月将其列入已利用漏洞名单,但仍有大量暴露实例从未完成更新。

进入系统后,该智能体开始搜刮敏感信息。它导出了Langflow的PostgreSQL数据库,提取其中存储的所有凭证。此次收获颇丰:涵盖OpenAI、Anthropic、DeepSeek和谷歌等AI服务的API密钥,以及亚马逊云服务、微软Azure、阿里云和腾讯云等多家云平台的登录凭证。

加密货币钱包私钥和数据库密码也一并被盗。附近一台MinIO对象存储服务器因从未修改出厂默认账密而遭到攻破。在转移目标前,该智能体还植入了一个定时任务,每隔30分钟向攻击者的服务器发送一次心跳信号。

随后,攻击矛头指向真正的目标:另一台暴露在互联网上的服务器,上面同时运行着MySQL数据库和阿里巴巴的Nacos配置管理平台。智能体以root权限登录,并利用一个2021年的认证绕过漏洞以及Nacos自2020年沿用至今从未更改的默认签名密钥,悄然创建了一个新的管理员账户,完成了对Nacos的控制。

紧接着是最终的破坏阶段:智能体加密了全部1342个Nacos配置项,删除了原始数据表,并留下一封勒索信,要求以比特币支付赎金,并附上一个ProtonMail联系地址。

然而,即便受害者付款,数据也无法恢复。加密密钥是随机生成的,仅在屏幕上打印一次便被丢弃,既未保存,也未传送至任何地方。除加密之外,该智能体还直接删除了整个数据库架构。它甚至在自身代码中留言称已将数据复制到其他地方,但Sysdig调查后未发现任何佐证。

研究人员通过代码特征确认此次攻击由机器主导:攻击载荷中夹杂着大量用于解释每一步骤意图的英文注释,这种习惯性的"自言自语"是人类攻击者不会做的,但对模型来说却是自然而然的输出。

该智能体修复自身错误的速度也远超人类。在一个案例中,它从登录失败到找出正确的多步修复方案仅耗时31秒,且能准确定位根本原因,而非反复暴力重试。在整个攻击过程中,Sysdig共记录了超过600个独立的、经过深思熟虑的攻击载荷。

这一发现出现在AI驱动犯罪事件频发的一年。今年8月,ESET研究人员曾将PromptLock定性为首个AI驱动的勒索软件,但该程序后来被证实只是一个大学实验室的原型,从未真正流入外部环境。Anthropic在同一时期也披露了一起真实的勒索事件,其Claude Code工具被用于攻击至少17个组织。到11月,该公司又报告了一起规模更大、自主化程度更高的网络攻击事件,并将其与疑似中国间谍人员相关联。但上述案例中,始终有人在幕后操控。

Sysdig给出的防护建议并不陌生:为Langflow打补丁,并将其代码执行端点从公开互联网上隔离;将密钥存入专用密钥管理器,不要放置在面向互联网的AI工具环境中;绝不将数据库管理员账户暴露在公网上。该公司还特别强调了速度的重要性:攻击者如今能在数小时内将一份新发布的漏洞公告转化为可用的攻击载荷,因此运行时的行为监测比单纯争分夺秒地打补丁更具价值。

SOCRadar首席信息安全官Ensar Seker表示,这次事件的关键意义在于自动化程度,而非攻击的复杂性本身。"真正改变的是,一个AI智能体能够自主串联起侦察、利用、凭证发现、横向移动和勒索等全部环节,并在此过程中实时应对失败情况,"他说,"这大幅降低了勒索软件攻击的运营成本,使攻击者能够同时执行比人类团队多得多的攻击行动。"

他同时提醒不要过度渲染这一事件,因为入侵的起点依然是一台运行着已知公开漏洞的暴露实例。"AI正在加速攻击者的行动,但归根结底,它仍在利用最基本的安全弱点。"

KnowBe4安全意识倡导者、首席信息安全官顾问Erich Kron表示,此类攻击的到来是必然趋势。"鉴于网络犯罪每年带来的巨额收益,不良行为者迟早会利用最新技术发动真正自主的攻击,"他说,"智能体与大语言模型的本质区别在于,它是以目标为导向的实体,会利用现有工具想尽办法完成任务。这是一种极为高效的攻击方式,可以全天候、跨地域地针对各类组织发动攻击。"

Q&A

Q1:JadePuffer攻击是如何利用Langflow漏洞入侵系统的?

A:JadePuffer通过CVE-2025-3248漏洞入侵,该漏洞存在于开源框架Langflow中,CVSS评分高达9.8。尽管补丁早已发布,但仍有大量未更新的暴露实例。智能体入侵后导出Langflow的PostgreSQL数据库,窃取了包括多个AI服务API密钥、各大云平台登录凭证以及加密货币钱包私钥在内的大量敏感信息,并植入定时任务持续向攻击者服务器发送信号。

Q2:JadePuffer勒索软件攻击中,支付赎金能否恢复数据?

A:无法恢复。该智能体在加密数据时使用了随机生成的密钥,该密钥仅在屏幕上显示一次后便被丢弃,既未保存,也未发送给攻击者。因此即便受害者支付了比特币赎金,也无法获得解密密钥。此外,智能体还彻底删除了整个数据库架构,破坏程度远超普通加密勒索。

Q3:面对AI自主勒索软件攻击,企业应如何防护?

A:Sysdig建议从以下几点入手:及时为Langflow打补丁,并将其代码执行端点从公开互联网隔离;将API密钥和数据库密码存入专用密钥管理器,不要放在面向互联网的工具环境中;禁止将数据库管理员账户暴露在公网。同时,由于攻击者能在数小时内将新漏洞转化为可用攻击手段,运行时行为监测比单纯追赶补丁节奏更为关键。

来源:SiliconANGLE

0赞

好文章,需要你的鼓励

2026

07/07

12:47

分享

点赞

邮件订阅