研究人员指出,这是目前公开披露的全球首个有完整记录、完全由 AI Agent 自动执行的勒索软件攻击案例,它利用公开漏洞入侵系统后,自主完成了从侦察、窃取凭证、横向移动到最终加密和摧毁数据库的完整攻击链路,全程无需人类操作。
IT之家注意到,此次事件中的 AI 攻击者并未采用新的漏洞或攻击技术,而是依靠 AI 自主组合现有攻击手法,完成了一条完整的自动化攻击链。
根据 Sysdig 报告,攻击起点是一台暴露在互联网的 Langflow 服务。攻击者利用已修复但仍存在于部分系统中的高危漏洞 CVE-2025-3248,在无需身份验证的情况下远程执行 Python 代码,从而获得目标主机控制权。
研究人员指出,虽然 Langflow 已在 1.3.0 版本修复该漏洞,并于 2025 年被美国网络安全和基础设施安全局(CISA)列入“已知遭利用漏洞”名单,但仍有大量互联网暴露实例没有及时更新,因此成为攻击目标。
成功入侵后,JADEPUFFER 会自动收集主机中的敏感信息,包括 OpenAI、Anthropic、DeepSeek、Gemini 等大模型服务 API 密钥,以及阿里云、腾讯云、华为云、AWS、Google Cloud、Azure 等云平台的登录访问凭证,同时还会搜索数据库账号、配置文件、加密货币钱包及助记词等信息,并导出 Langflow 使用的 PostgreSQL 数据库内容。
研究人员还发现,该 AI 使用 MinIO 默认账号密码“minioadmin”访问对象存储,下载包含访问密钥的配置文件,并在受害服务器创建计划任务,每隔 30 分钟主动连接攻击者控制服务器,以维持长期访问权限。
完成初始侦察后,JADEPUFFER 将攻击目标转向另一台部署生产业务的服务器,该服务器运行 MySQL 数据库及阿里巴巴开源配置中心 Nacos。
研究显示,AI 通过数据库 Root 账号登录 MySQL,并结合 Nacos 身份验证绕过漏洞 CVE-2021-29441 以及长期未修改的默认 JWT 签名密钥,成功获取 Nacos 管理权限,在数据库中植入隐藏管理员账号,实现对配置中心的完全控制。
Sysdig 表示,本次攻击最具代表性的特征并非使用了新的攻击方式,而是 AI 展现出的自主决策能力。攻击过程中,JADEPUFFER 生成的大量恶意代码均包含自然语言注释,对每一步操作目的、攻击优先级和执行逻辑进行说明。
当首次创建管理员账号失败后,它没有简单重复尝试,而是在 31 秒内完成错误分析、重新生成密码哈希、删除失败账号、重新创建管理员并再次验证登录,整个修复过程完全自动完成。
研究团队统计,此次攻击累计执行了超过 600 个具有明确目的的攻击载荷,多次根据实际执行结果调整后续策略。
在勒索阶段,JADEPUFFER 使用 MySQL 的 AES_ENCRYPT () 函数加密了 Nacos 中全部 1342 条配置数据,随后删除原始配置表及历史记录表,并创建 README_RANSOM 表留下包含比特币钱包地址和 Proton Mail 联系方式的勒索信息。
不过,Sysdig 发现,AI 在生成加密密钥后仅输出到终端一次,并未保存或上传给攻击者,这意味着即使受害者支付赎金,也无法获得解密密钥恢复数据。
此外,AI 在后续还删除了多个数据库。虽然其生成的代码声称数据已备份至外部服务器,但研究人员未发现任何数据成功外传的证据,因此无法证实这一说法。
Sysdig 认为,JADEPUFFER 最大的意义在于证明 AI Agent 已能够自主串联漏洞利用、权限提升、凭据窃取、横向移动、持久化控制及勒索破坏等多个环节,从而显著降低实施勒索攻击所需的技术门槛。
研究团队建议企业尽快升级 Langflow 至修复版本,不要将其代码执行接口直接暴露在公网,同时加强 Nacos 安全配置,更换默认 JWT 签名密钥,避免数据库使用 Root 权限对外提供服务,并加强运行时行为检测、限制服务器对外通信能力以及妥善管理各类访问凭据,以降低类似 AI 自动化攻击造成的风险。