Sysdig發現一起疑似首例由名為JADEPUFFER駭客以AI Agent從頭到尾執行的勒索軟體攻擊,並指出一個大型語言模型完成整個攻擊過程:入侵系統、竊取憑證、深入網路,然後加密並抺除公司的生產資料庫。勒索軟體攻擊一直需要技術人員參與,無論是鍵盤輸入還是編寫惡意軟體運行的腳本。如果一個模型能夠獨立完成這些步驟,那麼發動攻擊所需的技術水準就降至租用AI agent的成本。這次攻擊的突破口是一個早已被修復的舊漏洞。JADEPUFFER利用CVE-2025-3248,這是Langflow(一個用於建立AI應用程式和agent工作流程的開源工具)中的身份驗證缺失漏洞。該漏洞允許任何能夠存取伺服器的人在伺服器上運行自己的Python程式碼,而無需登入。
Langflow伺服器很容易成為攻擊目標,因為通常暴露在網路上,並且儲存著所連接服務的API金鑰和雲端憑證。該漏洞已在 Langflow 1.3.0版本中修復,並於2025年5月被列入CISA已知已利用漏洞列表,但仍有大量伺服器未更新。而且,這並非唯一以這種方式遭受攻擊 Langflow漏洞。入侵成功後,該agent迅速行動並清理自身。繪製機器拓撲圖,然後掃描其中的機密資訊:AI服務(OpenAI、Anthropic、DeepSeek、Gemini)API 金鑰、雲端憑證(包括阿里巴巴和騰訊等中國雲端服務供應商,以及AWS、Google和 Azure)、加密錢包金鑰和資料庫登入資訊。
它使用從未更改過的出廠預設登入 (minioadmin:minioadmin) 入侵一台 MinIO儲存伺服器。還設定備用方案,增加一個每30分鐘 ping一次駭客伺服器的定時任務。隨後,轉向真正目標:一台獨立的、面向網際網路伺服器,該伺服器運行著MySQL資料庫和阿里巴巴的Nacos(微服務架構中常見的設定和服務目錄)。該代理程式以 root使用者身分登入了資料庫。
Sysdig :從未發現這些root憑證來源,因此其來源不明,利用 2021年的身份驗證繞過漏洞 (CVE-2021-29441)和Nacos自2020年以來一直未曾更改的預設簽名密鑰接管Nacos,然後植入自己的管理員帳戶。
沒有金鑰的勒索信
該惡意軟體加密所有1342個Nacos設置,刪除原始表,並留下一封勒索信,要求受害者透過Proton Mail支付比特幣。它產生一個隨機加密金鑰,只在螢幕上顯示一次,之後便沒儲存或發送。根本沒有密鑰可供交出。即使受害者支付贖金,也無法恢復資料。(勒索信中聲稱使用AES-256加密;Sysdig 指出,該惡意軟體使用的工具預設使用安全性較低的AES-128加密)。隨後,該惡意軟體進一步刪除整個資料庫,並在其程式碼中留下註釋,聲稱已將資料複製到其他地方。Sysdig :那是AI系統發出的語音,團隊無法確認其真實性,也沒有發現任何資料實際留下的證據。
專家如何判斷是AI在操控攻擊
最明顯的線索是程式碼本身。攻擊載荷充滿簡單易懂的註釋,解釋每一步操作的原因,這些人類駭客絕不會費心編寫的註釋,但卻是模型預設生成的。該AI系統還能以機器速度修復自身的錯誤。在一個案例中,僅用31秒就完成從登入失敗到正確修復的多步驟操作,並準確診斷失敗原因,而不是盲目地重試。Sysdig統計到整個攻擊過程中使用超過600個獨立的、有目的的負載。還有一個細節仍然令人費解。勒索信中的比特幣位址與比特幣官方開發者檔案中出現的範例位址完全相同,這意味著出現在這些模型訓練所依據的大量文字中。此外,還是一個真實存在的活躍錢包,擁有長期的支付記錄。Sysdig無法判斷模型是否簡單地從記憶中貼一個看起來很熟悉的位址,還是操作員故意使用一個恰好與著名範例相符的真實錢包。
更大轉變的一部分
JADEPUFFER是AI驅動型攻擊快速發展的最新例證。2025年8 月,ESET研究人員發現PromptLock,被譽為首個AI驅動的勒索軟體;但後來證實,只是紐約大學實驗室開發的名為Ransomware 3.0 的原型,並非真正的攻擊。大約在同一時間,Anthropic報告一起真實的勒索活動,該活動利用其Claude Code工具攻擊至少17個組織,勒索金額超過50萬美元,儘管該活動仍然由人操控。2025年11月,Anthropic揭露其所謂的首例高度自主的網路攻擊,這是一起與中國政府有關的間諜活動,Claude幾乎無需人工干預即可編寫漏洞程式並竊取資料。在該行動中,AI還偽造不存在的憑證,這可能與 JADEPUFFER奇怪的比特幣位址背後的幻覺類似。嚴重攻擊的各個環節正在自動化,而老舊且未修補的軟體自然成首要目標。攻擊代理幾乎可以零成本地覆蓋所有已知漏洞,因此,那些被忽視的伺服器反而更容易受到攻擊,而不是更安全。
防禦者該怎麼做
修復方法很常見。修補Langflow,並且永遠不要將其程式碼運行端點暴露在網路上。不要在AI工具環境中執行帶有雲端密鑰和提供者憑證的工具;將密鑰保存在適當的管理器中,遠離任何可以透過網路存取的地方。加強Nacos的安全性:更改預設簽署金鑰,將其置於公共網際網路之外,並且永遠不允許其以root使用者身分連接到資料庫。切勿將資料庫管理員帳戶暴露於網際網路,並鎖定出站流量,以防止被駭伺服器向其內部網路發送請求。由於駭客現在可以在數小時內利用最新的安全公告,Sysdig 認為,監控運行時的惡意行為比急於修補更為重要。Sysdig公佈的此次攻擊指標包括:
Sysdig將JADEPUFFER稱為警訊,而非危機。其中任何單一攻擊動作都不算巧妙或新穎。新出現的問題是,某個模型能夠獨立地將這些攻擊手段整合起來,對一台被忽視的伺服器發動完整的攻擊。隨著代理工具的日趨成熟,預計此類攻擊將會越來越多。務必將任何暴露的伺服器、配置儲存或資料庫管理員登入資訊視為機器的探測目標,而不僅僅是人為因素。
本文參考自:https://thehackernews.com/2026/07/ai-agent-exploits-langflow-rce-to.html