云安全公司 Sysdig 记录了首个完全由自主大语言模型智能体驱动的勒索软件攻击,攻击者利用 Langflow 漏洞入侵服务器、窃取凭证、加密数据并摧毁备份,全程无人类干预,标志着 AI 网络犯罪进入新阶段。
云安全公司 Sysdig 的研究人员记录了一起被认为是由自主大语言模型(LLM)智能体全权操控的勒索软件攻击,这是业界首次发现此类事件。网络安全专家指出,这标志着 AI 驱动网络犯罪进入了一个令人警惕的新篇章。
Sysdig 威胁研究团队将这次攻击命名为 JADEPUFFER。攻击者入侵了一台面向互联网的服务器,窃取凭证,横向移动到生产数据库,加密数据并销毁备份——全程没有任何人类操作键盘。Sysdig 于 6 月 30 日发布报告,随后在安全领域引起了广泛关注。
安全事务报道:JADEPUFFER:首个端到端 AI 驱动的勒索软件操作

JADEPUFFER 利用了 Langflow 中的一个严重缺失认证漏洞(CVE-2025-3248),该漏洞在 CVSS 评分中高达 9.8。Langflow 是一个用于构建 AI 应用的开源框架。该漏洞允许未经身份验证的远程代码执行,而 Langflow 服务器通常在其环境中存储云凭证和 API 密钥。
一旦入侵成功,LLM 智能体便开始扫描主机查找秘密——包括 OpenAI、Anthropic 以及主要云服务商的密钥。随后,它转储了 Langflow 的后端数据库,扫描内部服务,并使用默认凭证掠夺了 MinIO 对象存储。接着,它跳转到一个运行 MySQL 和阿里巴巴 Nacos 配置服务的独立生产服务器,利用 2021 年的一个认证绕过漏洞,使用 Nacos 众所周知的默认签名密钥伪造了 JWT 令牌。
该智能体使用 MySQL 的 AES_ENCRYPT 函数加密了全部 1,342 个 Nacos 配置项,删除了原始表,并留下索要比特币赎金的勒索信。加密密钥随机生成,仅打印到标准输出一次,且从未保存——即使支付赎金,恢复也绝无可能。
Sysdig 列出了四项证据,表明是 LLM 而非人类驱动了此次行动。攻击载荷中充斥着自然语言注释,解释目标选择决策。智能体以机器速度纠正自身错误——在 31 秒内通过一个 15 行的诊断和修正脚本修复了一次失败的登录尝试。它还根据意外响应实时调整,例如从 JSON 解析切换到 XML 解析。
“运行勒索软件的技术门槛已经下降到运行一个智能体的成本,”Sysdig 在报告中写道,“而且如果该智能体通过 LLMjacking 使用被盗凭证运行,对攻击者来说成本几乎为零。”
安全研究人员强调,JADEPUFFER 使用的任何单一技术都并非新颖——危险在于 AI 模型将其串联成一个针对被忽视基础设施的连贯攻击链。Sysdig 敦促各组织修补 Langflow,加固 Nacos 部署,从可网络访问的进程中移除凭证,并应用出口控制来阻止被感染主机向攻击者发送信标。
免费获取企业 AI 成熟度诊断报告,发现转型机会
关注公众号

扫码关注,获取最新 AI 资讯
3 步完成企业诊断,获取专属转型建议
已有 200+ 企业完成诊断