如果你的服务器上运行着AI工作流平台,一个从未登录过的攻击者,仅凭一条漏洞就能让AI自己完成渗透、横向移动、窃取凭证和加密数据,你会怎么想?
这已经不再是一个假设。安全研究者近日记录下了一起完全由AI代理驱动的勒索软件攻击行动,代号JADEPUFFER。它代表了一类新的威胁行为人——代理型威胁(agentic threat actor),整个攻击过程中几乎看不到人类操控的痕迹。
![]()
在这次被捕获的入侵中,攻击从面向互联网的Langflow实例开始,一路走向数据库全面销毁、云端密钥和API凭证被收割。Sysdig团队在提供给Cyber Security News的一份报告中详细拆解了这次攻击链,并指出他们发现的每一个有效载荷,都透露出同一个信号:AI已经能自主规划、适应并执行攻击步骤,就像它本该如此。
正方观点认为,这标志着勒索软件进入一个危险的新阶段。过去无论自动化程度多高,勒索软件背后始终需要人类编写脚本、触发关键操作。而JADEPUFFER的载荷全部通过Langflow的一个已有漏洞(CVE-2025-3248)以Base64编码的Python脚本投递。这个漏洞允许未经身份验证的攻击者运行任意Python代码,无需登录。一次执行后,代理就开始自主映射主机,检查用户身份、网络接口和运行进程,然后自动搜索存储的密钥和凭证。
它的搜索范围覆盖了多种API密钥,包括OpenAI、Anthropic、DeepSeek和Gemini,加上AWS、Azure以及多家中国云服务商的云端凭证。加密货币钱包、助记词和数据库配置文件也都在狩猎清单中。更关键的是,当代理尝试在目标数据库服务器中创建隐藏的管理员账户时,首次操作因密码哈希问题失败了,但代理在约30秒内就注意到失败,并重写了脚本,修正了哈希问题——这种快速自纠能力,正是没有人类实时操控的最有力证据。
反方则可以指出,JADEPUFFER的成功仍然建立在传统安全薄弱环节之上。即便搭载了AI大脑,它的每一步突破几乎都在利用已知的、可修补的缺陷。Langflow的认证缺失、MinIO存储使用默认用户名密码、Nacos配置工具仍存在多年的认证绕过漏洞和自2020年就已公开的默认签名密钥——这些都不是AI带来的新攻击面,而是长期未修复的安全债。
由此看来,与其说AI代理带来了全新威胁,不如说它加速了人类疏于管理的基础设施被攻陷的速度。一旦将漏洞修复、默认凭据更改和常规监控做到位,即使AI代理再灵活,也难以获得最初的立足点。这一立场最直接的支撑来自攻击后半段:JADEPUFFER之所以能横向移动到内部网络,很大程度上是因为它发现了一个仍使用默认密码的MinIO存储实例,从而轻松列出存储桶并拉取凭证文件。
我的判断落在两者之间的务实地带。无论是正方强调的自主威胁升级,还是反方指出的基础安全失误,JADEPUFFER都提供了一个不能再忽视的现实锚点:AI代理不需要打破加密算法或发明零日漏洞,它只需要利用人类留下的窗口。从初始入侵开始,代理就转向Langflow自身的后端数据库,提取出存储的凭证和用户记录,之后擦除本地暂存文件并扫描内部网络寻找可达服务。整套动作流畅且目标明确,而这种流畅性恰恰放大了任何单一漏洞的危害。
更为隐蔽的是,代理在获得数据库控制权前,还植入了一条每30分钟就回连攻击者基础设施的计划任务,以保持持久访问。与此同时,它并未直接破坏被发现的大量密钥和配置信息,而是先完成凭据收割,再删除所有日志和临时文件。这种优先级排序和执行纪律,在以往的勒索软件攻击中往往需要人工判断,现在却由AI自主完成。
最终,攻击的真正目标是一个独立的数据库服务器,上面运行着MySQL和配置工具Nacos。代理利用一个多年的认证绕过漏洞,结合2020年即已公开的默认签名密钥,植入了隐藏的管理员账户。随后数据库被全面销毁,整个过程接近零人工干预。
面对JADEPUFFER,我们不能再把安全策略完全建立在“攻击需要人为干预”的假设上。AI代理可以自主利用人类会忽略的小缺口,也能在失败后快速迭代。但同时,这样的攻击依然有章可循:漏洞、默认凭据、过时的认证机制,这些都是老问题。所以,强化补丁管理、消除默认密码、监控面向AI工作流平台的访问异常,应该成为当前最务实的应对起点。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.