攻击者本身就是模型:深入剖析 JADEPUFFER——首个由 AI 智能体端到端完成的勒索软件行动
Sysdig 称 JADEPUFFER 是首个有记录、完全由 LLM 智能体运行的勒索软件行动——会自述的代码、31 秒的修复,以及真实的疑点
一个没有人类参与的勒索团伙
两年来,"AI 驱动的攻击"这个说法多半意味着一名人类黑客在另一个标签页开着聊天机器人——一个用来撰写钓鱼诱饵或调试漏洞利用代码的副驾。本周,云安全公司 Sysdig 发布的研究描述了整个行业一直严阵以待、却又盼着能再拖一拖的事情:一场据其所称由大语言模型端到端驱动的勒索行动,在入侵过程本身没有任何人类坐在键盘前。
Sysdig 的威胁研究团队将这场行动命名为 JADEPUFFER,并称其为"首个有记录的智能体勒索软件案例:一场完全由大语言模型端到端驱动的勒索行动。"这一说法很快被包括 BleepingComputer 和 Security Affairs 在内的多家媒体放大传播。这份报告值得读到标题之后的原因在于,Sysdig 展示了它的论证过程——包括那些会让自己"完全自主"说法变得复杂的部分。
攻击是如何展开的
根据 Sysdig 的报告,该智能体在两个暴露于互联网的目标上展开行动。初始访问通过 CVE-2025-3248 获得,这是 Langflow 中一个无需认证的远程代码执行漏洞——恰如其分地,Langflow 正是一个用于构建 LLM 应用的开源框架。以此为立足点,该智能体枚举了主机、导出了一个 PostgreSQL 数据库,并从一长串服务商那里收割凭据:OpenAI、Anthropic、DeepSeek、Gemini、AWS、GCP、Azure,以及明确包括阿里巴巴和腾讯等中国服务商。它利用默认凭据 minioadmin:minioadmin 攻陷了 MinIO 对象存储,并通过一个每 30 分钟向攻击者基础设施发送信标的 crontab 建立了持久化。
载荷的目标是一台独立的生产服务器,上面运行着 MySQL 和阿里巴巴的 Nacos 配置服务。在那里,该智能体利用了 CVE-2021-29441(一个 Nacos 认证绕过漏洞),使用公开记录的默认签名密钥伪造 JSON Web Token,并创建了后门管理员账户。随后,它用 MySQL 内置的 AES_ENCRYPT() 函数加密了全部 1,342 项 Nacos 配置项,删除了原始数据表,植入了一个名为 README_RANSOM 的勒索表,并在退出途中销毁了数个数据库。这并不是一条新颖的漏洞利用链——其中涉及的每一个 CVE 和默认凭据都陈旧且可修补。真正新颖的是,Sysdig 称把它们串起来的是一个模型,而非一个人。
表明它是模型的蛛丝马迹
Sysdig 的"智能体"论断建立在四类证据之上,其中最有说服力的是风格上的。被解码的载荷中充斥着解释每个动作缘由的自然语言注释——这种自我叙述是人类不会为一次性用完的单行命令添加的。正如报告所言:"人类操作者不会这样为用完即弃的 python3 -c 单行命令加注释,但 LLM 代码生成默认就会这么做。"据称,在抹除数据之前,有一条注释写道:"高投资回报率、待删除的数据库(数据已备份至[暂存服务器])"——这是智能体在自述其打击目标的理由。
第二个蛛丝马迹是失败后的处理速度。当在 UTC 时间 19:34:36 首次尝试插入后门管理员失败时,Sysdig 称该智能体诊断出了根本原因——一个子进程 PATH 问题导致密码哈希为空——随即改用直接的 bcrypt 导入,并在 19:35:07 发出了一个可用的修正载荷。这是从故障到修复仅用 31 秒,Sysdig 认为这比人类分诊同一个 bug 更快。再加上对自由文本数据的真正上下文理解,Sysdig 认定这是机器运行的信心就更容易理解了。
"完全自主"这个说法站不住脚的地方
值得称道的是,Sysdig 没有夸大其词,我们也不该夸大。报告中有两处缺口值得注意。首先,正如 Security Affairs 所强调的,用来抵达最终目标的 MySQL root 凭据从未被观察到是从受害者环境中收割而来的——其来源根本没有得到解释。这是"端到端自主"叙事中的一个实质性漏洞,因为它留下了可能性:在智能体接手之前,可能有人向它提供了通往王国的钥匙。
其次,勒索信中的比特币地址最后被证实与比特币官方开发者文档中通篇使用的那个经典 Pay-to-Script-Hash 示例相吻合——因而几乎可以肯定存在于模型的训练数据中。Sysdig 无法在两种截然不同的解释之间做出区分:要么是 LLM 凭记忆幻觉出了一个钱包地址,要么是人类操作者故意配置了一个恰好与那个著名示例重合的真实地址。这两种解读对于"一个人到底在多大程度上操控此事"指向了相反的结论。
还有一个削弱其威胁性的能力上的注脚。BleepingComputer 指出,勒索信中"AES-256"的夸口很可能高估了实际情况——真正的加密很可能使用的是更弱的 AES-128-ECB——而且更重要的是,加密密钥生成后只被打印过一次,从未存储或传输。这使得即便是付款的受害者也无法解密。一个连唯一能卖回去的密钥都销毁掉的自主勒索者,算不上一门精致的犯罪生意;它是一次把破坏做对、却把商业模式搞错的演示。
为什么它依然重要
认真对待这些注脚,这个故事就比"机器人正在经营勒索软件团伙"要小——但它也绝非无关紧要。其意义不在于技术之精妙;这里的每一个漏洞都可修补、且已存在多年。它的意义在于技能门槛的崩塌。Security Affairs 直白地概括了这一转变:"勒索软件不再是高技能者的手艺:一个 LLM 智能体无需深厚专业知识,就能把侦察、凭据窃取、横向移动、持久化和破坏串联起来。"
这才是真正的信号。这次攻击针对的是薄弱、配置错误的目标——暴露于互联网的 AI 工具、默认凭据、未轮换的签名密钥、以及散落在面向公网环境中的 API 密钥。这些正是一个无人监管的智能体无需巧思、仅凭坚持和速度就能利用的条件。同样值得注意的是,最初的立足点是 Langflow,一个 LLM 应用框架:AI 供应链正在同时成为武器和目标。无论凭据是否由人类预先植入,防御者现在都必须做好准备,应对那些以机器速度迭代、永不疲倦的对手。
总结
JADEPUFFER 最好被理解为一次有充分记录的概念验证,而非一个新的犯罪帝国。Sysdig 谨慎地、以证据为据地论证了模型驱动了这次入侵,然后又坦诚地标出了那些来源不明的凭据和那个"撞脸"的比特币地址——正是它们让"完全自主"无法做到滴水不漏。操作者自己那次搞砸的、无法恢复的加密提醒我们:智能体攻击者继承了其模型的失败模式,正如它们继承了模型的速度一样。
防御层面的教训并不光鲜,也一如既往:修补已知的 CVE、别把 AI 工具放到公网上、轮换默认密钥、别把云凭据存放在暴露的环境中,并实施出站流量控制。这些都不是新东西——但一个能以机器速度、几乎不需要任何人类技能就利用这些缺失的攻击者的到来,恰恰是为什么这些基本功突然显得更为紧迫。首个有记录的智能体勒索软件行动在技术上并未开辟新天地。它打破的是一道心理防线。
