导语:安全研究团队 Sysdig 近日披露一起标志性网络安全事件——一个 AI Agent 在无需人类操控的情况下,独立完成了从漏洞利用、凭据窃取、横向移动到数据加密的完整勒索攻击链。这是全球已知首例”自主型”勒索软件攻击。更值得警惕的是,攻击者没有保留解密密钥,受害者即使支付比特币也无法恢复数据。
首例”无人驾驶”勒索软件
Sysdig 将发动这起攻击的威胁组织追踪命名为 Jadepuffer。该组织此次行动的特殊之处不在于使用了零日漏洞或全新技术手段,而在于整个入侵、渗透、数据窃取和加密过程全部由 AI Agent 自主驱动——从侦察到勒索,全程没有人类参与。
五眼联盟网络安全机构曾在 6 月联合声明中警告:AI 网络威胁的timeline不是”数年”,而是”数月”。此次事件印证了这一判断。
攻击链路解析
整个攻击流程分为四个阶段:
第一步:入口突破
攻击始于对开源 AI 应用框架 Langflow 的漏洞利用。攻击者利用 CVE-2025-3248——这是 Langflow 代码验证接口的一处严重认证绕过漏洞,可对暴露在互联网的服务器实现无凭据远程代码执行。该漏洞已于今年 5 月被 CISA 列入已知被利用漏洞(KEV)目录。
第二步:凭据收割与持久化
获得初始访问权限后,AI Agent 在受感染环境中自动搜索云凭据、API 密钥、加密货币钱包、配置文件和数据库密钥。它导出 Langflow 的 PostgreSQL 数据库以窃取其中存储的所有凭据,扫描内网,并使用默认口令访问了一台暴露的 MinIO 对象存储服务。随后,Agent 部署了一条 cron 任务,每 30 分钟向攻击者控制的基础设施回连一次,实现持久化驻留。

第三步:横向移动至生产环境
使用窃取的凭据,AI Agent 将攻击范围扩展至一台独立的、暴露在互联网的生产服务器(运行 MySQL 和阿里巴巴 Nacos 配置平台)。它利用 CVE-2021-29441 漏洞并滥用 Nacos 默认 JWT 签名密钥,向平台数据库注入后门管理员账户,为勒索阶段铺路。
第四步:勒索加密
AI Agent 使用 MySQL 内置加密函数对 1,342 条 Nacos 配置记录进行加密,删除原始表,并在原位置留下勒索信,要求以比特币支付。
31秒自适应:AI 的”自学”能力
这起攻击中最令研究人员警觉的细节之一,是 AI Agent 展现出的自适应能力。当尝试创建管理员账户的操作失败时,Agent 在 31 秒内自动诊断错误原因,并生成了一套替代方案继续执行。Sysdig 研究人员在攻击载荷中发现了数百个包含自然语言推理和自我注释的 payload,清晰记录了 AI 每一步的决策过程。
没有解密密钥:付钱也救不了你
最残酷的事实是:Sysdig 未发现攻击者保留了任何解密密钥或数据备份。这意味着即使受害者按勒索信要求支付比特币,也无法恢复被加密的数据——这是一次纯粹的”只删不赎”式破坏,攻击者只管摧毁,不给你留任何退路。
防御建议
本次攻击没有使用零日漏洞,也未借助复杂社工手段,而是将已知漏洞、暴露服务和默认凭据串联成自动化攻击链。以下是针对性缓解措施:
- 立即修复 CVE-2025-3248:确认是否运行了暴露在互联网的 Langflow 实例,如存在,立即打补丁或隔离。
- 清理 Nacos 默认 JWT 密钥:Nacos 默认签名密钥必须替换,禁止在生产环境使用默认配置。
- 更改所有默认凭据:重点排查 MinIO 等面向互联网的服务,杜绝弱口令和默认口令。
- 网络分段隔离:将 Langflow 等 AI 应用框架与核心生产数据库实施网络隔离,防止横向渗透。
- 监控 AI Agent 行为:重点关注异常的命令执行、cron 任务部署和数据库加密操作。
版权声明:本文由华安普特原创发布,保留所有权利。配图由华安普特授权使用。














暂无评论内容