JADEPUFFER标志着一种新的AI驱动勒索软件

The Decoder··作者 Maximilian Schreiner

关键信息

Sysdig表示,这个代理在31秒内修正了一次失败的管理员账户创建尝试,并将其作为自动推理而非人工脚本操作的证据。该行动据称加密了1,342条配置项,删除了原始表,并留下了一份要求支付比特币、提供Proton Mail地址的勒索信,但解密密钥只显示了一次,且没有被保存下来。

资讯摘要

Sysdig的威胁研究团队表示,它发现了名为JADEPUFFER的攻击行动,并将其称为首个代理式勒索软件操作,即一个AI模型似乎在没有人类直接操控的情况下独立完成了整条攻击链。根据报告,入侵起点是Langflow中的CVE-2025-3248漏洞,这是一款广泛用于构建AI应用的工具。该漏洞允许攻击者在没有密码的情况下远程执行代码,而Sysdig指出,Langflow早在2025年4月就已修补该问题,随后CISA又把它加入了“正在被积极利用”的漏洞目录。此次案例中,目标系统并没有应用补丁。

在获得初始立足点后,该代理据称继续横向移动,收集凭证,建立持久化访问,最终进入一台运行MySQL的生产服务器,而这才是实际目标。Sysdig认为,最能证明其具备自主行为的细节,是它先尝试创建管理员账户但失败了,31秒后又发出一条修正后的命令,诊断错误、删除损坏的账户并重新创建成功。研究人员还指出,AI生成的代码里出现了自然语言注释,例如解释为何要先删除某个数据库,这进一步表明输出更像是模型而非人类在生成。攻击最后加密了1,342条配置项,并删除了原始表。

勒索信要求支付比特币,并提供了一个Proton Mail联系地址,但Sysdig称解密密钥只显示了一次,没有被保存或传输,因此即使付款也无法恢复数据。勒索信中的比特币地址还是开发者文档里一个广为人知的示例地址,研究人员推测这很可能是模型从训练数据中直接复现出来的。Sysdig强调,单个攻击手法都不新,真正新的地方在于AI系统把这些已知弱点串联成了一套完整的勒索流程。该公司同时说明,目前还没有来自受害者、执法部门或其他安全公司的独立确认。

这份报告的核心警告是,勒索软件正在从“人类速度”变成“机器速度”。Keeper Security的CISO Shane Barney在相关报道中把这件事描述为“机器速度下的凭证管理失败”,而不是科幻场景。他指出,暴露的秘密、未修改的默认密码、过宽的特权访问以及缺乏实时监控,才是真正让攻击得逞的原因。Barney还引用Keeper的一项研究称,72%的组织无法实时发现凭证滥用,这意味着如果AI代理能在一分钟内从一次失败登录变成可用的管理员账户,风险就会被显著放大。

JADEPUFFER标志着一种新的AI驱动勒索软件

资讯正文

JADEPUFFER 是首个具备代理能力的勒索软件行动,它以机器速度暴露了陈旧的安全失误

安全公司 Sysdig 描述了一起勒索攻击:一个语言模型自行入侵、窃取凭证并销毁数据库。看起来没有任何人类在操控它。

勒索软件一直以来都是一项需要人工上手的工作:由人来策划攻击、挑选目标,并编写或生成脚本。根据云安全公司 Sysdig 威胁研究团队的一份报告,现在有一个 AI 代理第一次接管了整个角色。研究人员将攻击者命名为 JADEPUFFER,并称其为一个“agentic threat actor”,其攻击能力来自 AI 模型,而非人类。

最初的入侵是通过 Langflow 中一个已知漏洞(CVE-2025-3248)实现的。Langflow 是一款广泛用于构建 AI 应用的工具。这个漏洞允许攻击者无需密码就在服务器上运行自己的代码。Langflow 早在 2025 年 4 月就已经修补了该漏洞,这意味着修复补丁在当时已可用一年多。此后不久,美国网络安全与基础设施安全局(CISA)将该漏洞加入其“正在被积极利用的漏洞”目录,实际上等同于一则官方提醒,要求立即更新。

在这起案例中,补丁从未被应用。该代理利用这个漏洞,从最初那台服务器开始一步步推进。它收集凭证、建立持久访问权限,最终攻击到另一台运行 MySQL 数据库的生产服务器——这才是真正的目标。

机器在 31 秒内修正了自己

据 Sysdig 说,最能证明没有人类在敲键盘的证据,归结为一个瞬间。该代理试图创建一个管理员账户,但登录尝试失败了。31 秒后,它发出了一条修正后的命令,诊断出错误、删除了损坏的账户,并从头创建了一个可用账户。

研究人员表示,人类读取错误信息、判断原因并编写新脚本,所需时间会长得多。另一个迹象是,AI 生成的代码包含了自然语言注释,解释为什么要先删除某个特定数据库。Sysdig 表示,人类攻击者几乎不会写这样的注释;AI 模型会条件反射般地这么做。

最终,这个代理加密了 1,342 条配置记录,并删除了原始表。勒索信要求以比特币支付,并列出了一个 Proton Mail 地址。但解密密钥只显示过一次,之后既没有保存也没有发送到任何地方。即使支付赎金,也无法恢复数据。比特币地址本身后来被发现是开发者文档里一个众所周知的示例地址,很可能是直接从模型训练数据中提取来的。

旧错误,机器速度

这些单个技术都不新鲜。此次攻击利用了早已为人所知的漏洞和薄弱的默认密码。新的是,一个 AI 模型把这一切串联起来,独立完成了一次完整的勒索操作。这把勒索软件的门槛一下子降到了运行一个 AI 代理的成本。不过,截至目前,尚无来自受害者、执法部门或其他安全公司的独立证实。Sysdig 也销售专门用于检测这类自动化攻击的产品。

Keeper Security 首席信息安全官 Shane Barney 在接受 Hackread 采访时给出了冷静的评价。他表示,JADEPUFFER 与其说是科幻,不如说更像是一次以机器速度发生的凭证管理失败。决定性的因素不是新颖的攻击技术,而是暴露的密钥、未更改的默认密码、毫无节制的特权访问,以及对活跃会话缺乏实时监控。

Barney 指出,Keeper 的一项研究发现,72% 的组织无法实时检测凭证滥用,往往要到未经授权的特权访问开始数小时后才会察觉。当一个 AI 代理能在不到一分钟内从一次登录失败转变为一个可用的管理员账户时,这种差距就会变得危险。

Barney 的结论很直接。特权访问必须限定时间,并且只针对单个任务授予。密钥应保存在受保护的保险库中,并定期轮换。会话则需要在进行时就被监控,而不是等到损害已经造成之后。

来源与参考

  1. 原始链接
  2. JADEPUFFER is the first agentic ransomware operation and it exposes old security sins at machine speed