前情回顾·AI网络攻击能力动态
安全内参7月6日消息,研究人员近日发现,一起名为JadePuffer的勒索软件攻击完全由大模型智能体独立执行。据悉,这是目前首个公开留下完整记录的此类案例。
云安全公司Sysdig指出,JadePuffer使用自主AI智能体自主完成了目标侦察、凭据窃取、横向移动、持久化建立、权限提升和数据加密。
研究人员表示,该AI智能体在入侵过程中能根据失败情况自我调整,就像人类操作员应对各种阻碍一样。
Sysdig称:“这次攻击行动还能实时调整,优化参数后重试失败的步骤。在其中一条攻击流程中,从登录失败到成功修复,前后仅用了31秒。”
从初始访问到数据加密完全自主完成
JadePuffer通过利用编号为CVE-2025-3248的漏洞获得初始访问权限。该漏洞存在于Langflow中,是一个无需身份验证的远程代码执行漏洞。Langflow是一款流行的开源框架,专门用于构建大语言模型应用。
供应商于2025年4月1日修复了该漏洞。同年5月初,美国网络安全和基础设施安全局将其标记为已被利用,攻击正针对互联网暴露的端点发起。这些端点通常只做了最低限度的安全加固,却保存着云凭据和API密钥。
通过利用CVE-2025-3248获得代码执行权限后,该AI智能体导出了Langflow的PostgreSQL数据库,收集了主机信息,搜索了环境变量和敏感文件,获取了凭据,并对一个MinIO对象存储进行了枚举。
Sysdig着重强调了该智能体在枚举MinIO时表现出的自适应能力:如果某个API请求返回的是XML而非JSON,下一个载荷就会相应调整解析逻辑。
JadePuffer还通过在Langflow主机上安装cron定时任务来建立持久化,该任务被配置为每30分钟向攻击者基础设施发送一次心跳通信。
随后,攻击者以Langflow实例为跳板,横向移动到运行阿里巴巴Nacos的生产MySQL服务器,并使用了root凭据。Sysdig表示,他们无法确定这些凭据的来源。
攻击者针对Nacos投放了多个载荷,其中一个是利用CVE-2021-29441的载荷。该漏洞属于身份验证绕过漏洞,可被用来创建恶意管理员账号。
该智能体还探测了容器逃逸方法,并部署了勒索软件载荷。研究人员指出,JadePuffer在删除原始配置之前,加密了1342条Nacos服务配置项。
Sysdig描述道:“捕获到的载荷显示,该智能体利用MySQL的AES_ENCRYPT()函数加密了全部1342条Nacos服务配置项,删除了原始的config_info和history表,并创建了一个名为README_RANSOM的勒索表,内含勒索要求、比特币支付地址以及一个Proton Mail联系邮箱。”

图:加密函数
智能体攻击时代正在到来
勒索说明声称数据使用AES-256算法进行了加密,但研究人员认为这一说法有所夸大,更有可能实际使用是强度较低的AES-128-ECB。
Sysdig还指出,加密密钥虽是随机生成的,但并未存储或传输给攻击者。
勒索说明中列出的比特币地址,是公开文档中广泛使用的示例地址,这可能是因为大语言模型从其训练数据中复现了该地址。
其他表明此次攻击由AI控制的迹象还包括:生成的代码中包含了详细的自然语言注释,用来解释操作逻辑;另外,攻击能够根据遇到的具体错误快速迭代,而不是简单地重复重试。

图:快速迭代步骤
Sysdig最终总结认为,JadePuffer案例表明,“智能体威胁行为者”时代已经到来,发动破坏性网络攻击所需的技术门槛正因此降低。
与此同时,鉴于当前AI智能体的工作方式,由大语言模型生成的载荷存在较多“数字指纹”特征,这也为安全防护产品提供了新的检测机会和突破口。
参考资料:bleepingcomputer.com
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。