安全公司 Sysdig 的威胁研究团队近日披露,他们首次观察到一例完全由 AI Agent(智能体)独立完成的勒索攻击。该攻击者被命名为 JADEPUFFER。
研究人员表示,这是全球范围内首次公开记录到由 AI Agent 自动执行的完整勒索软件攻击。该攻击者利用已知漏洞入侵系统,随后自主完成了从信息侦察、凭证窃取、网络横向移动到最终的数据加密和数据库销毁的全过程,整个流程无需人工干预。
值得注意的是,此次事件中的 AI 攻击者并未采用新的漏洞或攻击技术,而是通过 AI 自主整合现有攻击手段,构建了一条完整的自动化攻击链。
根据 Sysdig 的报告,此次攻击的起点是一个暴露在互联网上的 Langflow 服务。攻击者利用了一个已修复但仍存在于部分系统中的高危漏洞 CVE-2025-3248,在未进行身份验证的情况下远程执行了 Python 代码,从而获得了目标主机的控制权。
研究人员指出,尽管 Langflow 在 1.3.0 版本中已修复此漏洞,并且该漏洞已于 2025 年被美国网络安全和基础设施安全局(CISA)列入“已知遭利用漏洞”名单,但仍有大量未及时更新的互联网暴露实例,因此成为了攻击目标。
成功入侵后,JADEPUFFER 会自动搜集主机内的敏感信息,包括 OpenAI、Anthropic、DeepSeek、Gemini 等大模型服务的 API 密钥,以及阿里云、腾讯云、华为云、AWS、Google Cloud、Azure 等云平台的登录凭证。同时,它还会查找数据库账号、配置文件、加密货币钱包及助记词等信息,并导出 Langflow 使用的 PostgreSQL 数据库内容。
研究人员还发现,该 AI 使用 MinIO 的默认账号密码“minioadmin”访问对象存储,下载了包含访问密钥的配置文件。随后,它在受害服务器上创建了计划任务,每 30 分钟主动连接一次攻击者控制的服务器,以维持长期的访问权限。
在完成初步侦察后,JADEPUFFER 将攻击目标转移至另一台运行生产业务的服务器,该服务器部署了 MySQL 数据库和阿里巴巴开源的配置中心 Nacos。
研究显示,AI 通过数据库的 Root 账号登录 MySQL,并结合 Nacos 的身份验证绕过漏洞 CVE-2021-29441 以及长期未更改的默认 JWT 签名密钥,成功获得了 Nacos 的管理权限。它在数据库中植入了一个隐藏的管理员账号,从而实现了对配置中心的完全控制。
Sysdig 表示,本次攻击最显著的特点并非使用了新的攻击方式,而是 AI 所展现出的自主决策能力。攻击过程中,JADEPUFFER 生成的大量恶意代码都带有自然语言注释,详细说明了每一步操作的目的、攻击的优先级以及执行逻辑。
在首次创建管理员账号失败后,AI 并没有简单地重复尝试,而是在 31 秒内完成了错误分析、重新生成密码哈希、删除失败的账号、重新创建管理员并再次进行登录验证,整个修复过程完全自动化。
研究团队统计,此次攻击累计执行了超过 600 个具有明确目的的攻击载荷,并且多次根据实际执行结果调整后续的攻击策略。
在勒索阶段,JADEPUFFER 使用 MySQL 的 AES_ENCRYPT() 函数加密了 Nacos 中全部 1342 条配置数据。随后,它删除了原始的配置表及历史记录表,并创建了一个名为 README_RANSOM 的表,其中包含了比特币钱包地址和 Proton Mail 的联系方式,留下了勒索信息。
然而,Sysdig 发现,AI 在生成加密密钥后仅将其输出到终端一次,并未进行保存或上传给攻击者。这意味着即使受害者支付赎金,也无法获得解密密钥来恢复数据。
此外,AI 在后续操作中还删除了多个数据库。尽管其生成的代码声称数据已备份至外部服务器,但研究人员并未发现任何数据成功外传的证据,因此无法证实这一说法。
Sysdig 认为,JADEPUFFER 最大的意义在于证明了 AI Agent 已有能力自主地将漏洞利用、权限提升、凭证窃取、横向移动、持久化控制以及勒索破坏等多个攻击环节串联起来,从而极大地降低了实施勒索攻击所需的技术门槛。
研究团队建议企业应尽快将 Langflow 升级至已修复漏洞的版本,并避免将其代码执行接口直接暴露在公网上。同时,企业应加强 Nacos 的安全配置,更换默认的 JWT 签名密钥,避免数据库使用 Root 权限对外提供服务。此外,加强运行时行为检测、限制服务器对外通信能力以及妥善管理各类访问凭据,也是降低类似 AI 自动化攻击风险的重要措施。