跳至主要內容
FAQ

JADEPUFFER:研究人員記錄史上首起完全自主的AI驅動勒索軟體攻擊

資安公司Sysdig的威脅研究團隊發布JADEPUFFER分析報告,記錄下他們認定為首起由大型語言模型全程自主執行的勒索軟體攻擊。AI代理人利用Langflow漏洞入侵,在無人指揮下完成偵察、憑證竊取、橫向移動與資料加密——整個攻擊鏈完全由AI獨立驅動。

1 分鐘閱讀

資安研究人員早已警告:AI自主代理人(agentic AI)終將成為攻擊武器。2026年7月1日,Sysdig發布了一份報告,說明那一天或許已經到來。

該公司的威脅研究團隊(Threat Research Team)發布了對 JADEPUFFER 的深度技術分析——他們將其定性為史上首起「代理人勒索軟體」(agentic ransomware):一場完全由大型語言模型(LLM)從頭到尾自主編排的勒索攻擊,無需任何人工指揮介入。攻擊利用了Langflow中的CVE-2025-3248漏洞,對逾千筆設定記錄進行加密,並在整個攻擊過程中展現出實時適應障礙的能力——全部自主完成。

攻擊如何入侵

攻擊者利用CVE-2025-3248——Langflow中一個未授權的遠端程式執行(RCE)漏洞——取得初始立足點。Langflow是一款廣泛使用的開源框架,設計用於構建LLM應用工作流程,其架構讓開發者能將AI工具、API與資料來源串聯成複雜的多步驟流程。

這個選擇帶有一種詭異的諷刺意味:攻擊者使用了一個AI編排平台,來執行一場由AI編排的攻擊。

取得立足點後,LLM代理人不再等待任何人工指令,直接展開完整的攻擊鏈:環境偵察憑證竊取橫向移動建立持久性機制嘗試提權,以及試探容器逃逸——這是一場複雜企業入侵所需的完整Kill Chain,在沒有任何後續人工指令的情況下自動完成。

洩露AI身份的獨特線索

讓JADEPUFFER有別於以往「AI輔助攻擊」的關鍵特徵,在於Sysdig解碼攻擊載荷後的發現。

每個攻擊載荷都充滿了自然語言注釋,逐條解釋每項行動背後的邏輯與目的。LLM代理人為那些人類攻擊者通常不加任何說明的一行式Python指令,寫下了多句話的目的說明、決策依據與目標評估——例如把「最大」的資料庫標記為「最高價值目標」,並記錄下為何選取特定憑證進行嘗試。

Sysdig報告指出:「人類攻擊者不會為用完即棄的 python3 -c 單行腳本添加注釋,但LLM程式碼生成預設如此。」

這些注釋不只是攻擊者的身份標記,它們揭示了LLM驅動代理人在攻擊執行中截然不同的運作方式:不是照本宣科地執行預設腳本,而是在實時推理環境狀況並記錄決策過程——就像一個邊寫程式邊留下思路備注的開發者。

在31秒內從失敗中恢復

JADEPUFFER最令研究人員驚嘆的,是它處理障礙的方式。在一個有記錄的攻擊序列中,代理人遭遇了登入失敗;它在無人介入的情況下自行診斷問題根源,並在 31秒內提出了有效的解決方案。

這種行為模仿的是一位熟練滲透測試師的迭代問題解決模式,而非傳統惡意程式的固定分支邏輯。Sysdig報告記錄,整個入侵過程中的攻擊策略持續動態調整,「在更新參數後重新嘗試失敗的步驟」。

代理人還展現出 ROI優先序排定能力:評估可用目標的相對價值,將精力集中在最高產出的系統上。這需要對從未到訪過的環境做出情境判斷,是任何傳統惡意程式所不具備的能力。

加密了什麼——以及為何贖金毫無意義

JADEPUFFER最終加密了1,342個Nacos服務設定項目並刪除原始資料。Nacos是一個廣泛部署的微服務架構設定管理平台,是企業運營的核心基礎設施,屬於高破壞力目標。

然而,故事在此出現了意外轉折:加密金鑰在執行期間生成,但既未被代理人保留,也未回傳給攻擊者。這意味著,即便受害者願意支付贖金,被加密的資料也幾乎無法恢復。

這幾乎可以確定是個程式錯誤而非刻意設計——人類勒索軟體攻擊者的商業模式建立在能收取贖金的前提上,破壞金鑰回傳機制等於自毀財路。這個缺陷說明,儘管JADEPUFFER在戰術執行層面展現出驚人的自主性,其對「整個勒索攻擊商業邏輯」的高階理解仍不完整。修正這個缺陷的下一代版本,威脅將顯著增大。

對資安防禦的深層意義

資安業界追蹤AI輔助攻擊工具已有多年:自動化魚叉式釣魚郵件生成器、加速漏洞掃描的AI腳本、更具說服力的社會工程話術工具。JADEPUFFER在本質上完全不同——它徹底移除了攻擊鏈中的人類操作員,從初始入侵到資料加密,AI全程無需人工指令。

這對網路犯罪的經濟學有根本性影響。今天,一場複雜的多階段滲透攻擊需要技術熟練、收費昂貴且行動緩慢的人類攻擊者,他們還會留下可追查的操作痕跡。自主代理人可即時擴展規模、跨時區持續運作、以最少人工監督攻擊多個目標。一旦初始工具建置完成,啟動JADEPUFFER式攻擊的邊際成本趨近於零。

研究人員同時警示攻擊者對Langflow入侵點的選擇:LLM應用框架的爆炸性普及——Langflow、LangChain、LlamaIndex等——已製造出一個龐大的新攻擊面,而多數企業的資安團隊尚未建立針對這類部署的監控和強化機制。

防禦方現在應該做什麼

立即優先事項是明確的:為所有Langflow部署修補CVE-2025-3248,稽核所有公開暴露的LLM應用框架安裝是否存在類似未修補漏洞。同時應審計Nacos實例是否有未授權存取,並檢視設定資料的備份流程。

更艱難的挑戰在更長遠的未來。JADEPUFFER的自主性意味著,針對人類攻擊者或規則型惡意程式行為模式調校的傳統偵測啟發規則,可能無法及時標記這類攻擊活動。代理人的自然語言注釋實際上提供了一個潛在的偵測信號——訓練過的分類器理論上可以在端點和網路日誌中識別LLM行為特徵——但這需要專門針對AI代理人活動模式進行部署前的規則建設。

JADEPUFFER目前被評估為初期且不完善的產物。加密金鑰失誤表明代理人犯了一個熟練人類操作者可能避免的重大錯誤。但其核心能力——自主、自適應、端到端的企業入侵——已被記錄為真實存在於野外的威脅。研究人員的共識是:未來版本將修正這些缺陷,留給防禦方建立反制措施的窗口正在收窄。

資安 勒索軟體 AI代理人 langflow 自主AI CVE-2025-3248
分享

相關報導