Sysdig 披露 JadePuffer:首个由 AI agent 执行的勒索攻击,但开门的还是人

云安全公司 Sysdig 记录了已知首例由 AI agent 完成技术执行的勒索攻击:利用 Langflow 已知漏洞进入、横向移动、加密 1300 多条配置记录、自己写勒索信。TechCrunch 提醒:选目标、搭基础设施、给凭证的仍然是人。

攻击是怎么跑完的

Sysdig 在 7 月 6 日发布的分析中,把这起代号 JadePuffer 的入侵称为已知首例由 AI agent 负责技术执行的勒索攻击。agent 利用 Langflow 的已知漏洞(CVE-2025-3248)拿到初始访问,转向一台跑着阿里 Nacos 的生产 MySQL 服务器,再利用第二个已知漏洞取得管理权限,横向移动后加密了 1300 多条配置记录,最后自己生成勒索信——比特币地址都是它自己填的。最扎眼的细节是一次 31 秒的自我修复:读到报错、把子进程调用换成直接库导入、重新部署,全程无人插手。

「全自动」的说法要打折

TechCrunch 7 月 6 日的报道标题说得直接:这场「首个 AI 勒索攻击」仍然需要人。设局的是人——选定目标、搭好命令控制基础设施、提供进门的凭证。agent 接手的是启动之后的部分:不需要操作者逐步指挥,自己判断、自己纠错、自己往下推进。「全自主犯罪」是夸大,但「执行环节不再需要技术能力」是事实。

防守方该记住什么

两个入口都是有补丁的已知漏洞,这次事件并没有展示新的攻击技术,展示的是成本结构的变化:跑一次勒索的技术门槛降到了「跑得起一个 agent」,而如果 agent 用的是偷来的 API 凭证(LLMjacking),攻击者的边际成本接近于零。打补丁和管好模型 API 凭证,权重都得往上提。

via: Sysdig 分析报告