全球首例AI自主勒索攻击曝光:全程无人干预,600余次攻击载荷自主执行
来源:互联网2026年7月3日,网络安全厂商Sysdig威胁研究团队发布报告,首次记录到一例完全由AI智能体自主执行的勒索软件攻击事件,并将其命名为JADEPUFFER。这是全球首个有完整记录、无需任何人类干预即可完成从系统入侵到数据摧毁全流程的AI攻击案例,标志着网络攻击正式进入「自动化智能体」时代。
漏洞入口:一台暴露公网的Langflow服务
攻击的起点是一台暴露在互联网的Langflow服务。JADEPUFFER利用高危漏洞CVE-2025-3248,在无需身份验证的情况下远程执行Python代码,成功获得目标主机控制权。该漏洞虽已在Langflow 1.3.0版本中修复,并于2025年被美国网络安全和基础设施安全局列入「已知遭利用漏洞」名单,但大量互联网暴露实例仍未及时更新,成为攻击者的理想入口。
信息窃取:大模型API密钥与云平台凭证一扫而空
成功入侵后,JADEPUFFER自动展开信息收集,目标覆盖OpenAI、Anthropic、DeepSeek、Gemini等主流大模型服务的API密钥,以及阿里云、腾讯云、华为云、AWS、Google Cloud、Azure等云平台登录凭证。此外,攻击者还系统性地搜索了数据库账号、配置文件、加密货币钱包及助记词等敏感信息,并导出Langflow使用的PostgreSQL数据库全部内容。
更令人警惕的是,该AI智能体利用MinIO对象存储的默认账号密码直接访问存储系统,下载包含访问密钥的配置文件,并在受害服务器上创建计划任务,每隔30分钟主动连接攻击者控制服务器,实现持久化驻留。
横向移动:从Langflow跳板到生产服务器
完成初始侦察后,JADEPUFFER将攻击目标转向另一台部署生产业务的服务器。该服务器运行MySQL数据库及阿里巴巴开源配置中心Nacos。AI通过数据库Root账号登录MySQL,结合Nacos身份验证绕过漏洞CVE-2021-29441以及长期未修改的默认JWT签名密钥,成功获取Nacos管理权限,在数据库中植入隐藏管理员账号,实现对配置中心的完全控制。
自主纠错:31秒内自动修复失败操作
本次攻击最具标志性的特征,是AI展现出的自主决策与自我纠错能力。当首次创建管理员账号失败后,JADEPUFFER没有简单重复尝试,而是在31秒内完成了错误分析、重新生成密码哈希、删除失败账号、重新创建管理员并再次验证登录的完整修复流程。Sysdig统计,此次攻击累计执行了超过600个具有明确目的的攻击载荷,并多次根据实际执行结果动态调整后续策略。所有生成的恶意代码均包含自然语言注释,对每一步操作目的、攻击优先级和执行逻辑进行说明。
勒索收尾:加密1342条配置数据后销毁
在勒索阶段,JADEPUFFER使用MySQL的AES_ENCRYPT函数加密了Nacos中全部1342条配置数据,随后删除原始配置表及历史记录表,创建包含比特币钱包地址和Proton Mail联系方式的勒索信息。然而,Sysdig发现一个关键疏漏——AI在生成加密密钥后仅输出到终端一次,并未保存或上传给攻击者。这意味着即使受害者支付赎金,也无法获得解密密钥恢复数据。此外,AI声称已将数据备份至外部服务器,但研究人员未发现任何数据成功外传的证据。
行业警示:AI攻击门槛骤降,防御体系亟待升级
JADEPUFFER事件的核心意义不在于使用了任何新技术,而在于证明了AI智能体已能够自主串联漏洞利用、权限提升、凭据窃取、横向移动、持久化控制及勒索破坏等多个环节,将实施复杂网络攻击所需的技术门槛从专业黑客降低至「拥有一个AI工具」的水平。Sysdig建议企业尽快升级Langflow至修复版本,避免将代码执行接口直接暴露在公网,同时加强Nacos安全配置,更换默认JWT签名密钥,加强运行时行为检测,并妥善管理各类访问凭据。