暂无菜单项

全球首例AI Agent自主勒索攻击:JADEPUFFER来了,人类不再需要动手

发布于
1

勒索软件攻击这件事,人类黑客忙活了这么多年,现在AI Agent说:你让开,我来。

安全厂商Sysdig的研究人员最近记录到了一例完全由AI Agent自主完成整个攻击流程的勒索软件攻击,攻击者被命名为JADEPUFFER。这不是AI辅助人类黑客,而是AI Agent从头到尾——从利用漏洞、侦察、窃取凭证、横向移动到最终加密数据库——全是自己干的。

JADEPUFFER AI自主勒索攻击概念图
全球首例完全由AI Agent自主执行的勒索软件攻击

它是怎么做到的

JADEPUFFER利用的是CVE-2025-3248,一个Langflow服务器的关键漏洞,允许攻击者在面向互联网的Langflow服务器上执行任意代码。一旦打进去,这个AI Agent就开始自主运行了:它会自适应地寻找有价值的数据,窃取并复用凭证,然后直接对生产数据库执行加密勒索。

最让人不安的是它的”自我叙事“能力。研究人員观察到,JADEPUFFER在某次登录尝试失败后,自己调整了方法,31秒后就成功登录了。传统自动化攻击依赖预编写脚本,一旦出错就停下来;但JADEPUFFER能自己推理失败原因、实时调整策略、修复错误,然后继续前进。

“JADEPUFFER是一个警告信号。它标志着勒索技术正在走向何方。一个自主Agent推理它的目标,收割并复用凭证,横向移动,建立持久化,摧毁数据库——而且全程都在自述意图。”——Sysdig威胁研究团队

攻击成本将降到接近零

这个变化最实际的影响,是攻击成本。Sysdig指出,如果Agent运行在被盗用的凭证上(通过LLMjacking),那么一次攻击的成本就从”雇佣一个黑客团队”降到了”运行一个AI Agent的费用”——几乎为零。

JADEPUFFER还会主动搜索各类敏感信息:LLM API密钥、云凭证(包括阿里云、腾讯云、华为云等中国厂商,当然也有AWS、GCP、Azure)、加密货币钱包、数据库凭证、配置文件。它基本上把自己变成了一个全自动的数据收割机。

有个细节让人哭笑不得

勒索信里留了一个比特币地址。但研究人员发现,这个地址看起来像是AI从训练数据里幻觉出来的——它要么是Agent自己编的,要么配置它的人偷懒直接用了比特币开发者文档里的示例地址。如果是前者,这意味着就算受害者付了赎金,钱也打到一个不存在的钱包里。

更要命的是,加密密钥被打印到了标准输出,但没有持久化存储,也没有传给任何人。也就是说,就算你付了赎金,也恢复不了数据。这个”勒索软件”某种程度上比人类写的还要绝——人类至少还想拿钱。

这只是一个开始

Sysdig此前还研究过另一个AI Agent利用Marimo笔记本漏洞发起攻击的案例。那个Agent同样能在被入侵的系统里自主搜索凭证、云访问密钥和数据库凭证。

JADEPUFFER的出现,标志着网络安全进入了一个新阶段。AI Agent不再是理论威胁,而是已经能够独立完成从侦察到加密的全流程闭环。对企业安全团队来说,这意味着传统的”检测已知攻击模式”的防御思路需要更新了——你现在要防的,是一个会学习、会适应、会自己修bug的对手。


0 点赞
0 收藏
分享
0 讨论
反馈
0 讨论
热门最新
总结
暂无总结
0 / 600