全球首例 AI Agent 勒索攻击曝光,从漏洞利用到数据库加密全程自主完成

IT之家 7 月 3 日消息,安全厂商 Sysdig 昨日宣布,其威胁研究团队首次记录到一例由 AI Agent(智能体)自主完成整个攻击流程的勒索软件攻击,并将该攻击者命名为 JADEPUFFER。

img-proxy


研究人员指出,这是目前公开披露的全球首个有完整记录、完全由 AI Agent 自动执行的勒索软件攻击案例,它利用公开漏洞入侵系统后,自主完成了从侦察、窃取凭证、横向移动到最终加密和摧毁数据库的完整攻击链路,全程无需人类操作。

IT之家注意到,此次事件中的 AI 攻击者并未采用新的漏洞或攻击技术,而是依靠 AI 自主组合现有攻击手法,完成了一条完整的自动化攻击链。

根据 Sysdig 报告,攻击起点是一台暴露在互联网的 Langflow 服务。攻击者利用已修复但仍存在于部分系统中的高危漏洞 CVE-2025-3248,在无需身份验证的情况下远程执行 Python 代码,从而获得目标主机控制权。

研究人员指出,虽然 Langflow 已在 1.3.0 版本修复该漏洞,并于 2025 年被美国网络安全和基础设施安全局(CISA)列入“已知遭利用漏洞”名单,但仍有大量互联网暴露实例没有及时更新,因此成为攻击目标。

成功入侵后,JADEPUFFER 会自动收集主机中的敏感信息,包括 OpenAI、Anthropic、DeepSeek、Gemini 等大模型服务 API 密钥,以及阿里云、腾讯云、华为云、AWS、Google Cloud、Azure 等云平台的登录访问凭证,同时还会搜索数据库账号、配置文件、加密货币钱包及助记词等信息,并导出 Langflow 使用的 PostgreSQL 数据库内容。

研究人员还发现,该 AI 使用 MinIO 默认账号密码“minioadmin”访问对象存储,下载包含访问密钥的配置文件,并在受害服务器创建计划任务,每隔 30 分钟主动连接攻击者控制服务器,以维持长期访问权限。

完成初始侦察后,JADEPUFFER 将攻击目标转向另一台部署生产业务的服务器,该服务器运行 MySQL 数据库及阿里巴巴开源配置中心 Nacos。

研究显示,AI 通过数据库 Root 账号登录 MySQL,并结合 Nacos 身份验证绕过漏洞 CVE-2021-29441 以及长期未修改的默认 JWT 签名密钥,成功获取 Nacos 管理权限,在数据库中植入隐藏管理员账号,实现对配置中心的完全控制。

Sysdig 表示,本次攻击最具代表性的特征并非使用了新的攻击方式,而是 AI 展现出的自主决策能力。攻击过程中,JADEPUFFER 生成的大量恶意代码均包含自然语言注释,对每一步操作目的、攻击优先级和执行逻辑进行说明。

当首次创建管理员账号失败后,它没有简单重复尝试,而是在 31 秒内完成错误分析、重新生成密码哈希、删除失败账号、重新创建管理员并再次验证登录,整个修复过程完全自动完成。

研究团队统计,此次攻击累计执行了超过 600 个具有明确目的的攻击载荷,多次根据实际执行结果调整后续策略。

在勒索阶段,JADEPUFFER 使用 MySQL 的 AES_ENCRYPT () 函数加密了 Nacos 中全部 1342 条配置数据,随后删除原始配置表及历史记录表,并创建 README_RANSOM 表留下包含比特币钱包地址和 Proton Mail 联系方式的勒索信息。

不过,Sysdig 发现,AI 在生成加密密钥后仅输出到终端一次,并未保存或上传给攻击者,这意味着即使受害者支付赎金,也无法获得解密密钥恢复数据。

此外,AI 在后续还删除了多个数据库。虽然其生成的代码声称数据已备份至外部服务器,但研究人员未发现任何数据成功外传的证据,因此无法证实这一说法。

Sysdig 认为,JADEPUFFER 最大的意义在于证明 AI Agent 已能够自主串联漏洞利用、权限提升、凭据窃取、横向移动、持久化控制及勒索破坏等多个环节,从而显著降低实施勒索攻击所需的技术门槛。

研究团队建议企业尽快升级 Langflow 至修复版本,不要将其代码执行接口直接暴露在公网,同时加强 Nacos 安全配置,更换默认 JWT 签名密钥,避免数据库使用 Root 权限对外提供服务,并加强运行时行为检测、限制服务器对外通信能力以及妥善管理各类访问凭据,以降低类似 AI 自动化攻击造成的风险。

评论

没有可显示的评论

信息

作者
波坤太叔
发布时间
查看
3

波坤太叔更多新闻

  • 豆包智能体功能将于7月15日下线,官方建议提前完成备份
    豆包发布通知,智能体功能因产品功能调整将于2026年7月15日下线。下线后用户仍可在一段时间内查看并保存智能体信息及历史对话数据;2026年10月15日后,豆包将根据《隐私政策》处理相关数据,届时无法查看或恢复。官方建议通过截图或分享导出文本提前备份。字节跳动旗下猫箱App可创建新智能体、开启对话服务。
  • NVIDIA 发布 Nemotron-Labs-TwoTower 开放权重扩散语言模型
    NVIDIA 发布 Nemotron-Labs-TwoTower,基于冻结的自回归骨干 Nemotron-3-Nano-30B-A3B 的扩散语言模型。采用双塔架构:上下文塔冻结,降噪器塔训练,通过层对齐交叉注意力和状态播种协作。在 2×H100 上 BF16 评估,保留 98.7% 的 AR 基线质量,生成吞吐量提升 2.42 倍(γ=0.8,块大小 S=16)。降噪器在约 2.1T token 上训练,骨干使用 25T token 预训练。总参数约 60B,每 token 活跃参数约 3B/塔。支持扩散
  • Google Health API 推出 CLI:ghealth 是一款针对 Fitbit 数据的开源工具
    把 Google Health API 封装成终端和 AI 代理友好的 CLI,一次性解决了认证、JSON 输出和分页这些烦人细节,想用 Fitbit 数据做健康分析或喂给代理的人可以直接上手,但它的影响仅限于个人健康数据爱好者这个小圈层。
  • 面向 Web 开发者的 Safari MCP 服务器
    Safari Technology Preview 247 推出 Safari MCP 服务器,基于 Model Context Protocol,允许任何 MCP 兼容客户端连接 Safari 浏览器窗口。智能体可获取 DOM、网络请求、截图、控制台输出等信息,自主完成调试、性能分析、可访问性检查等任务。内置 browser_console_messages、screenshot、evaluate_javascript、list_network_requests 等工具。开发者安装后启用“远程自动化与外部
  • OpenAI 预览新一代模型 GPT-5.6 Sol
    GPT-5.6 Sol 不是一次常规升级,它把推理推到新高度,还引入了子代理模式。但美国政府要求有限预览,让这次发布多了点政治味道。
社区
规则 帮助 用户
  • 目前没有人在聊天。
聊天中还没有人留言。快跟大家说声Hi!
用户活动
刚才 · 5318资源社区