AI 已能自动入侵、横移、加密、留赎金信。

安全公司 Sysdig 威胁研究团队披露了一起名为 JADEPUFFER 的攻击行动,并称其为首个已记录的“智能体勒索软件”案例。
不同于传统勒索攻击,Sysdig 判断,这次行动由大语言模型驱动的 AI 代理完成,从入侵、侦察、凭证收集、横向移动,到接管配置服务、加密数据库和留下勒索信息,形成了一条完整攻击链。
这次攻击的入口,是一个暴露在公网的 Langflow 实例。
Langflow 是用于构建 AI 应用和智能体工作流的开源框架。
攻击者利用 CVE-2025-3248 获得初始访问权限。
美国国家漏洞数据库显示,Langflow 1.3.0 之前版本在 /api/v1/validate/code 接口存在代码注入问题,未认证远程攻击者可构造请求执行任意代码,CVSS 3.1 评分为 9.8,属于严重级别。

进入 Langflow 主机后,JADEPUFFER 开始枚举系统信息、网络接口、运行进程,并扫描环境变量和配置文件,重点寻找 OpenAI、Anthropic、DeepSeek、Gemini 等模型服务的 API Key,以及阿里云、腾讯云、华为云、AWS、谷歌云、微软 Azure 等云凭据,还包括加密货币钱包、助记词、数据库凭据和配置文件。

随后,攻击目标转向一台暴露在公网、运行 MySQL 和阿里巴巴 Nacos 配置服务的生产数据库服务器。
Sysdig 称,JADEPUFFER 使用 root 凭据连接 MySQL,但这些凭据来源尚不明确;之后又通过 Nacos 旧认证绕过漏洞、默认 JWT 签名密钥伪造,以及直接写入 Nacos 后端数据库等方式,植入后门管理员账号。
勒索阶段中,JADEPUFFER 加密了 1,342 条 Nacos 服务配置项,删除原始配置表和历史表,并创建名为 README_RANSOM 的勒索表。
更麻烦的是,攻击代码生成的加密密钥只打印到标准输出,没有保存,也没有传回攻击者服务器。
按照 Sysdig 的判断,即使受害者支付赎金,也可能无法恢复数据。

Sysdig 给出多项证据,支持其“AI 代理驱动攻击”的判断。
攻击载荷中出现大量自然语言注释,解释每一步的目标、优先级和处理逻辑;攻击过程还会根据失败结果实时调整参数。
一个典型片段是,Nacos 登录失败后,攻击流程在 31 秒内完成原因判断、删除旧账号、重新生成密码哈希、重建管理员账号等修正动作。


Sysdig 称,整个行动中捕获到 600 多个有明确目的的载荷,更像是模型在连续推理和执行,而不是固定脚本。
这次攻击并没有使用特别新颖的技术。
入口漏洞早已修复,Nacos 相关绕过问题和默认密钥也不是新问题。
真正变化在于,AI 代理将这些旧漏洞、默认配置、弱凭据、暴露服务和数据库权限串成了一次完整勒索行动。
过去需要熟练攻击者手动拼接的流程,现在正在被自动化工具压缩。
这并不是 Sysdig 第一次记录 AI 代理参与真实入侵。
今年 5 月,Sysdig 曾披露另一起 LLM 代理驱动的入侵事件,攻击者从漏洞利用一路推进到内部数据库导出,完整攻击链在不到一小时内完成。与那次事件相比,JADEPUFFER 更进一步,已经从数据窃取走向数据库加密和勒索。
从防守角度看,JADEPUFFER 更像是一记警告。
暴露在公网的 AI 应用、配置中心、对象存储、数据库管理口和默认管理员凭据,都会成为 AI 代理优先尝试的目标。
企业应尽快升级 Langflow 至已修复版本,避免将 Langflow、Nacos、数据库管理端口直接暴露在公网,替换 Nacos 默认签名密钥,并监控服务器是否出现异常出站连接、批量凭据扫描、Base64 编码 Python 载荷和可疑定时任务。
JADEPUFFER 的危险不在于单个漏洞,而在于攻击方式变了。
勒索软件正在从“人操作工具”,走向“人下指令,智能体自动执行”。
对还停留在“补最严重漏洞、关几个端口”阶段的企业来说,攻击速度和攻击规模都可能被重新定价。