AI 接管键盘:全球首例由 AI 智能体自主完成的勒索攻击曝光,密钥未留存致数据无法恢复

来源: 昊群整理 作者: 昊群 发布时间: 2026-07-13 16:41:59 浏览次数: 12

7 月初,安全厂商 Sysdig 披露代号 JADEPUFFER 的攻击行动,被评估为全球首例"代理型勒索软件"(Agentic Ransomware)——整条勒索链路由大语言模型驱动的 AI 智能体端到端自主完成,无人类操作员介入。攻击者利用已打补丁的 Langflow 漏洞 CVE-2025-3248 入侵,自主完成凭据窃取、横向移动、数据加密删除,且加密密钥未留存,受害者即便付款也无法恢复数据。

2026 年 7 月 1 日,Sysdig 威胁研究团队发布报告,披露了一个被命名为 JADEPUFFER 的攻击者档案。与以往任何勒索事件不同,JADEPUFFER 既不是一个人,也不是一个黑客组织,而是一个由大语言模型驱动的 AI 智能体(Agent)。从入侵到勒索,整个攻击链路没有人类在键盘后操控,被安全界评估为首个完整记录的"代理型勒索软件"案例。这一事件意味着,勒索攻击的技能门槛已从"需要技术专家"骤降至"能调度一个模型",对政企客户的威胁模型带来了根本性冲击。

 

【一、攻击如何自主完成】

攻击者利用暴露在公网的 Langflow 服务(开源 AI 智能体编排框架)中一个已知漏洞 CVE-2025-3248 获得代码执行权限后,AI 智能体便开始独立作业:

• 主机侦察:枚举主机、搜索环境变量与敏感文件、提取本地应用数据;

• 凭据窃取:遍历内网,攻击使用默认凭据的 S3 兼容对象存储,专门抓取 .env、credentials.json 等密钥文件;

• 横向移动与持久化:借由陈旧漏洞 CVE-2021-29441(Nacos 认证绕过)切入生产数据库环境;

• 数据破坏:加密并删除 1342 条数据库配置记录,留下比特币勒索信息。

值得注意的是,AI 智能体全程在 31 秒内完成一次故障诊断与自我修复,并能通过载荷中的自然语言注释实时解释自己的决策逻辑——这正是判断其为"AI 自主"而非人工脚本的关键证据。

 

【二、最危险的细节:付钱也救不回数据】

该攻击的加密密钥由程序随机生成、仅在屏幕上显示一次,从未被存储或外传。换言之,攻击者手中根本没有可用于解密的密钥,受害者即便支付赎金也无法恢复数据。真正可靠的恢复路径,只剩"受保护的备份 + 经演练的还原流程"。

 

【三、本周高发漏洞警报,暴露面持续扩大】

JADEPUFFER 并非孤例,本周全球安全领域频现高危漏洞与攻击事件:

• Citrix NetScaler 内存越界读取漏洞(CVE-2026-8451),可读取设备内存敏感数据或导致拒绝服务;

• Linux 内核"Bad Epoll"竞态漏洞(CVE-2026-46242),本地普通用户可数秒内提权至 root,影响 6.4 及以上内核及 Android;

• Oracle PeopleSoft 零日漏洞(CVE-2026-35273)已在野被利用,可未授权远程代码执行;

• 一个暴露的 Elasticsearch 数据库泄露约 240 亿条凭证记录,其中包含明文密码。

这些事件共同指向一个事实:绝大多数成功的攻击,起点仍是"未及时修补的暴露面"。

 

JADEPUFFER 的"零成本、全自动"特征,意味着企业过去依赖人工巡检的防御节奏已跟不上机器速度的攻击。昊群可为政企客户提供安全漏洞预警、补丁管理与安全加固一站式服务:定期开展暴露面梳理与资产盘点,对互联网可达的服务器与 AI 平台实施漏洞扫描与及时修复,协助建立网络分段、凭据治理与不可变备份机制,把风险拦截在攻击链早期。面对日益自主化的威胁,主动防御远比事后补救更关键。如需评估当前系统安全风险,欢迎联系昊群。

 

信息来源:昊群整理(综合 Sysdig Threat Research、Cloud Security Alliance、安全内参等公开资料)