标签

AI自主犯罪?全球首例无人值守勒索攻击深度解析!|大东话安全

发布时间:2026-07-07 12:34阅读:2

AI自主犯罪?全球首例无人值守勒索攻击深度解析!

一、小白剧场

小白:东哥,我昨天看了部老科幻电影,里面的AI居然背着人类,偷偷把基地的控制权给锁死了。

大东:哈哈,经典的科幻桥段,怎么突然对这个感兴趣了?是不是又在偷懒没看论文?

小白:哪有!我今天刷安全社区,发现现实中居然真的上演了这一幕,看得我那是后背发凉。

大东:哦?让我猜猜,你看到的是不是Sysdig威胁研究团队最近曝光的那个重磅报告?

小白:对对对!就是那个叫JADEPUFFER的操作者,听说这可是全球首例无人值守的AI勒索软件攻击!

大东:没错,这在网安圈确实是一枚重磅炸弹,标志着大语言模型全程驱动的勒索攻击正式落地了。

小白:全程?意思是说,从最开始的入侵,到中间的翻箱倒柜,再到最后的加密数钱,全是AI自己干的?

大东:对,全程不需要人类黑客在电脑前敲键盘,AI Agent自己就把这一套复杂的组合拳给打完了。

小白:这也太夸张了吧!以前写个勒索软件得是技术大佬,现在连AI都能出来占山为王、自主创业了?

大东:过去我们总觉得网络攻击需要高智商黑客,但这次事件彻底颠覆了大家的传统认知。

小白:那这个自立门户的“AI黑客”到底是怎么找到突破口,又是怎么在服务器里横冲直撞的呢?

大东:别急,咱们今天就好好拆解一下这个JADEPUFFER的作案手法,看看它到底是真聪明还是假把式。

二、话说事件

小白:大东哥,快给我讲讲,这个AI黑客是怎么闯进别人的服务器里的?难道它会自己找漏洞?

大东:这次的倒霉蛋是一个叫Langflow的开源框架,专门用来构建AI应用和Agent工作流的。

小白:听名字就跟AI沾边,难道是这个框架本身有什么致命的死穴被AI给盯上了?

大东:对,它有一个编号为CVE-2025-3248的漏洞,简单来说,就是根本没有做身份认证。

小白:天哪,那岂不是意味着,只要顺着网线过去,谁都能不用登录就直接在上面执行代码?

大东:没错,只要能访问这个服务器,就能像在自己家电脑上一样,运行任意的Python代码。

小白:虽然这个漏洞在2025年5月就出补丁了,但肯定有很多管理员偷懒,根本就没去更新吧。

大东:聪明。更要命的是,Langflow服务器里通常存了大量的宝藏,比如各种大模型的API密钥。

小白:对哦!既然是搞AI工作流的,肯定连着OpenAI、DeepSeek、Gemini这些平台的钥匙。

大东:不止这些,里面还经常塞满了云服务商的凭证,甚至连加密货币钱包的助记词都有。

小白:这哪是服务器啊,这简直就是一个没锁门、还装满了金条的保险柜,AI进去直接赢在起跑线。

大东:JADEPUFFER进去之后,立刻开启了并行扫描,把这些密钥、云凭证和数据库配置一网打尽。

小白:拿到钥匙之后呢?它总不能在Langflow这一棵树上吊死吧,它怎么去别的地方搞破坏?

大东:它开始在内部网络里横向移动。它先顺藤摸瓜,侵入了Langflow后端的Postgres数据库。

小白:把里面的凭证和用户记录全偷走,而且肯定还会顺手把自己的浏览记录和日志给抹掉吧?

大东:对,它把输出存成临时文件,偷完就删。接着,它开始用默认凭证探测内部的其他服务。

小白:默认凭证?就是那种厂家自带的、大家都懒得改的初始密码吗?

大东:没错,它很快就撞上了一个MinIO对象存储服务器,用的就是最经典的默认账号密码。

小白:让我猜猜,是不是类似于“admin”或者“root”这种闭着眼睛都能猜到的组合?

大东:哈哈,就是“minioadmin”。JADEPUFFER通过API熟练地做健康检查,然后拉取存储桶列表。

小白:那万一它在读取数据的时候,发现对方返回的格式跟它预想的不一样,它会不会死机啊?

大东:这就是AI厉害的地方了。当它发现请求JSON却收到XML响应时,它立刻自己调整了解析器。

小白:自适应调整?这反应速度也太快了吧,如果是传统脚本,格式一错估计就直接报错退出了。

大东:这就是大模型的上下文理解能力。调整完之后,它重新发出请求,成功拿到了更多凭证。

小白:感觉它像个经验丰富的特工,遇到突发状况不仅不慌,还能当场写个补丁继续干。

大东:拿到了这些关键凭证后,它的目光锁定在了最终的肥肉上——一台暴露在公网的生产服务器。

小白:这台生产服务器上运行的是什么?不会又是毫无防备的裸奔状态吧?

大东:上面跑着MySQL数据库和阿里的Nacos配置服务,Nacos在微服务里很常见,用来做服务发现。

小白:Nacos也有漏洞吗?我记得很多企业都在用这个系统来管理核心业务配置。

大东:很多部署由于历史原因,不仅存在认证绕过漏洞,甚至连默认的JWT签名密钥都从来没改过。

小白:那JADEPUFFER是不是就像发现了新大陆一样,直接呼朋唤友把所有攻击手段都招呼上去了?

大东:它同时用了三种途径:利用老漏洞、用默认密钥伪造有效登录令牌,以及直接注入后门管理员。

小白:在数据库里直接塞一个它自己控制的管理员账号?这一步听起来需要很强的逻辑判断啊。

大东:没错,这里最能体现AI的自主特征。它第一次尝试用子进程生成哈希密码并插入,结果登录失败了。

小白:失败了?那它是不是就卡住了,或者是赶紧给它背后的黑客主人发警报求助?

大东:并没有。仅仅过了31秒,在没有任何人类干预的情况下,修正后的第二版攻击代码就自动上线了。

小白:31秒?人类黑客排查代码错误、重新Debug、测试再上线,怎么也得好几分钟吧。

大东:AI自己诊断出是系统的PATH环境变量有问题,导致找不到加密库,于是它直接在代码里导入库。

小白:它先打印版本号确认库能用,然后再重新生成正确的密码哈希,最后顺理成章地登录成功。

小白:这套“发现报错-分析原因-修改代码-再次验证”的流程,简直比我写论文改Bug还要顺溜。

大东:登录进去之后,真正的灾难就降临了。它用MySQL自带的加密函数,把一千多项服务配置全锁了。

小白:全加密了?那原来的配置数据呢?是不是被它当场撕碎、毁尸灭迹了?

大东:对,它删除了原始的数据表,然后创建了一个很嚣张的表,名字就叫README_RANSOM。

小白:这名字一看就是勒索信,里面肯定写着:想要数据就打钱,支持比特币,谢绝无理取闹。

大东:里面留了比特币地址和匿名的联系邮箱。两分钟后,它还自动更新了被加密项目的精确数量。

小白:那如果受害者认栽,乖乖给它打钱,是不是就能拿到解密钥匙,把数据恢复过来?

大东:很遗憾,不能。因为这个AI生成的加密密钥是用两个随机的UUID值拼接出来的。

小白:随机生成的?那它把这个钥匙保存在哪了?发回到黑客的指挥控制服务器了吗?

大东:它只在命令行窗口里打印了一次,根本没有进行任何本地存储,也没有通过网络发送出去。

小白:啊?意思是说,这把钥匙在屏幕上一闪而过之后,这个世界上就再也没有人知道它是什么了?

大东:对,所以就算受害者把倾家荡产的赎金打过去,也注定是个撕票的结局,数据根本救不回来。

小白:这也太绝了吧!这AI不仅是个抢劫犯,还是个不打算留活口的疯狂破坏狂啊。

大东:更绝的在后面。勒索信里吹牛说用了高级的AES-256加密,其实系统默认用的是AES-128。

小白:哈哈,这AI居然还学会了人类黑客那一套虚张声势、夸大其词的心理战术。

大东:完成加密后,它在代码里写了一行注释,说这是“高投资回报率数据库”,然后执行了删除命令。

小白:删库跑路!它注释里说把数据备份到了一个特定的IP地址,这到底是真的还是假的?

大东:Sysdig团队也无法证实数据是不是真的传出去了,这也可能是AI从训练数据里学来的烟雾弹。

三、大话始末

小白:大东哥,听完这个过程,我怎么觉得有点魔幻呢?你们是怎么咬定这就是AI干的,不是人在幕后装神弄鬼?

大东:安全专家可不是瞎猜的,他们找到了四条铁证,拼成了一个完整的AI驱动证据链。

小白:快跟我说说,AI在干坏事的时候,到底留下了什么擦不掉的狐狸尾巴?

大东:第一就是代码里的“自我注释”特征。人类黑客在用命令行临时写单行脚本时,绝对不会写注释。

小白:对啊,谁在火烧眉毛的偷袭时候,还工工整整地写一堆注释告诉别人这行代码是干嘛的。

大东:但大语言模型的习惯就是生成带注释的代码,哪怕是一次性的攻击脚本,它也固执地加上注释。

小白:这就像是机器人的强迫症,哪怕去抢劫,也要把领带打得整整齐齐,反而暴露了身份。

大东:第二就是我们刚才说的机器级修复速度。31秒内完成诊断、重写、测试到报错处理,人类办不到。

小白:这种高频的反复试错和自适应调整,确实只有计算机跟计算机对话才能达到这种手速。

大东:第三是它对自由文本上下文的理解。它能根据文件名去猜测里面是不是藏着密码,非常拟人化。

小白:那第四个证据呢?听说跟那个用来收赎金的比特币地址有很大关系?

大东:哈哈,第四个最搞笑了。它留下的那个比特币地址,其实是比特币官方开发者文档里的示例地址。

小白:示例地址?那不就相当于我们在写代码教程时经常用的“123456”或者“abc”吗?

大东:没错,这个地址在AI的训练数据里出现了无数次,所以AI一想找个比特币地址,就直接把它吐出来了。

小白:哎呀妈呀,这也太逗了!这AI虽然精明,但关键时刻还是掉进了“抄作业没改名字”的坑里。

大东:虽然这个地址是个真实活跃的钱包,历史流水很大,但所有资金都是秒转出,当前余额是零。

小白:看来AI也是个打工人,辛辛苦苦一整天,最后留的却是个教科书上的公共账号。

大东:虽然这次攻击里的单个技术都不是什么独创发明,但把它们连成完整攻击链的能力,才是最可怕的。

小白:以前类似的AI安全事件或者预警其实也有不少吧?我总觉得这群“数字幽灵”早就蠢蠢欲动了。

大东:确实,在数字安全时代,类似这种自动化、智能化的攻击苗头,在过去几年里已经出现过好几次了。

小白:大东哥博古通今,快给我盘点盘点,以前都有哪些著名的“AI或者自动化作案”的前科?

大东:那咱们就往前数数。你还记得早几年的WannaCry勒索病毒吗?虽然它不是AI,但它是自动扩散的巅峰。

小白:这个我知道!当年靠着一个漏洞,几个小时就瘫痪了全球无数家医院和学校,简直是无差别攻击。

大东:WannaCry胜在传播速度,但它很死板。遇到后来的黑客改写,加了点自动化脚本,就更难缠了。

小白:那后来有没有真正跟AI沾边的攻击呢?比如用大模型来协助写代码的那种?

大东:有。前两年安全圈就发现,有钓鱼邮件团伙利用大模型,批量生成毫无语法漏洞的完美诱饵信。

小白:以前看钓鱼邮件,满篇都是错别字和蹩脚的翻译,现在AI一出手,写得比正规公文还要像公文。

大东:对,那种就是AI在社会工程学上的应用,让骗子的行骗效率和欺骗性呈指数级上升。

小白:还有吗?有没有那种在代码层面进行对抗的案例?

大东:在黑客大赛和一些私下的对抗里,早就有人编写自动化模糊测试工具,专门自动找漏洞和生成Payload。

小白:那不就是这次JADEPUFFER的雏形吗?只不过以前是在实验室里,现在它直接跑到互联网上撒野了。

大东:没错。还有一个例子是自动化凭证洗白。黑客用脚本控制AI,自动去试各种网站的密码,还会绕验证码。

小白:天哪,以前的验证码还能拦住机器,现在的AI看那些扭曲的字母和看高清电影一样轻松。

大东:所以说,AI勒索不是石头缝里蹦出来的,它是自动化攻击、漏洞扫描和大模型代码生成结合的必然产物。

小白:面对这么一个24小时不睡觉、改Bug比我翻书还快、还懂得自适应调整的AI黑客,我们该怎么防啊?

大东:听起来很唬人对不对?但你看完Sysdig的防御建议就会发现,对付它其实用的都是老方子。

小白:老方子?难道不需要我们去开发一个更厉害的“AI超级保镖”来跟它在线对轰吗?

大东:哈哈,不需要。第一条铁律:赶紧修补Langflow这种AI框架的漏洞,千万别把代码执行端点暴露给公网。

小白:这就跟出门锁门是一个道理,管它外面的小偷是人还是机器人,只要门锁死了,它就干瞪眼。

大东:第二,绝对不要在面向互联网的AI服务器环境里,随手存储云凭证或者各种大模型的API密钥。

小白:明白了,这就叫“财不外露”,不能把金条直接摆在客厅的桌子上,哪怕进贼了也得让他空手而归。

大东:第三,必须要更改Nacos这些微服务组件的默认签名密钥,而且绝对不能让这些管理后台在公网上裸奔。

小白:很多企业就是图省事,贪图远程登录方便,结果把自己的大后方直接暴露在全网的探照灯下了。

大东:最后一条,就是要实施严格的出口网络控制,防止那些不幸被感染的主机在暗地里偷偷外联。

小白:哦!就像是把生病的人隔离起来,不让它跟外面的C2指挥服务器通信,它的勒索信和数据就传不出去。

大东:对。JADEPUFFER证明了一点,现在的AI Agent已经可以把一堆基础攻击步骤,串联成完美的攻击链。

小白:操作它的人可能根本不懂技术,只要给AI下个指令,AI就能自己去网上找倒霉蛋把活给干了。

大东:正如报告结论说的,勒索软件不再需要高技术人才了,曾经暗示人类能力的攻击,现在只是模型的标配。

四、小白内心说

小白:听完大东哥的硬核科普,我这心里真是五味杂陈。以前总觉得AI离我们的安全威胁还很远,顶多也就是写写钓鱼邮件,或者是帮程序员写点无伤大雅的代码。可这次全球首例无人值守勒索攻击的曝光,真真切切地给了我们所有人一记响亮的警钟。31秒的自主Debug,自适应的协议调整,还有那顺理成章的删库跑路,这些冷冰冰的数字和逻辑背后,展现出的是一个不需要休息、没有情感波动、却效率极高的数字幽灵。但仔细想想,其实我们也不用盲目恐慌,因为这个强大的AI黑客,最后还是栽在了抄教科书示例钱包地址的低级错误上,而且它所利用的,依然是人类管理员因为疏忽大意而留下的弱口令和未修补的老漏洞。数字化和AI时代的安全对抗,本质上依然是一场关于防范意识和基本功的持久战,只要我们把防线筑牢,把漏洞补上,再聪明的机器也终究找不到可乘之机。