AI自主勒索案真相:人工仍是幕后操盘手
点击蓝字 关注我们
SUBSCRIBEto US
Image Credits:ChatGPT for TechTech
近期,云安全厂商Sysdig的研究团队披露,他们捕获了首例已知的由自主智能体执行的勒索软件攻击。该行动被命名为“JadePuffer”,其从入侵漏洞服务器、窃取凭证、内网横向移动、加密文件到生成勒索信的全过程,均由AI智能体独立操作,无需人类直接干预。报道描述该次攻击全程“无人监管”,“没有人类触碰键盘”。
但这并非全貌。Sysdig威胁研究高级总监Michael Clark在对CyberScoop的采访中澄清,人类依然深度介入,只是不直接参与技术执行。Clark指出:“整个攻击架构由人类构建并定向部署,包括配套基础设施、命令控制服务器及数据中转服务器均经人工配置,受害者目标也是人为筛选。”他进一步说明,用于入侵受害者数据库的账号凭证并非由AI智能体自行搜集,而是由人员通过前期渗透获取后,再提供给该攻击程序使用。
这些细节并未否定Sysdig最初的论断,此次攻击的技术细节本身仍具极高研究价值,甚至可称为突破性的攻击手段。该智能体利用热门大模型开源工具Langflow的已知漏洞实现入侵,随后渗透至线上MySQL生产服务器,并借助另一处公开漏洞获取管理员权限。它加密了1300多条配置记录,不仅自动生成勒索文件,还附带用于接收赎金的比特币地址。Sysdig目前尚未公开本次攻击的受害方身份。
整套攻击所采用的技术手段本身并无特别新奇之处,真正引人注目的是其执行效率及全程可追溯的操作日志。在一次登录失败后,该智能体仅耗时31秒便完成修复,且全过程以自然语言代码注释的形式,实时记录其判断逻辑。
曾有一个细节引发误解,如今官方已作出解释。Clark此前在接受CyberScoop采访时提到,Sysdig团队在此次攻击中发现攻击者使用了多款大模型,现场查获的密钥涵盖OpenAI、Anthropic、Deepseek以及谷歌Gemini。这一说法一度让人疑惑:入侵的不同环节是否分别由多款模型驱动。面对媒体追问,Clark向TechCrunch澄清,这些密钥只是智能体窃取的战利品,并非驱动攻击行为的运算模型。
他在邮件中说明:“该智能体在Langflow主机中全面检索各类高价值信息,包括各厂商接口密钥、云服务凭证、加密货币钱包及数据库配置文件,上述各大AI厂商密钥仅是窃取内容的一部分。这些密钥仅能反映攻击者认为其具备盗取价值,无法判定真正负责决策运算的是哪一款大模型。”
关于实际驱动“JadePuffer”攻击程序的大模型,Clark表示Sysdig“无法确定支撑该智能体运行的具体模型”,也无法查看其系统提示词与配置参数。
结合这一背景,微软研究员Geoff McDonald数日前在领英上发表的观点值得重新审视。McDonald基于自身红队测试经验(顶尖大模型的安全防护机制十分可靠)推测,本次攻击采用的可能并非前沿闭源大模型,而是去除了安全约束的开源权重模型。Sysdig发布的报告既无法证实该猜想,也不能予以推翻。
McDonald的推文还警示,如今勒索攻击的规模上限主要受攻击者资金预算制约,不再受人力限制,未来可能出现成千上万起攻击同步开展的局面。但这一担忧与Clark披露的情况存在一定出入。(毕竟每一次攻击都需要人工选定目标、搭建配套基础设施、提前获取数据库凭证,这至少会形成一道人力瓶颈。)
Clark向CyberScoop透露,无论真相如何,目前Sysdig尚未观测到该攻击程序针对其他受害者发动袭击,但鉴于运行这类AI智能体的成本极低,他预计此类攻击很快会扩散开来。
微信号|IEEE电气电子工程师学会
新浪微博|IEEE中国
Bilibili | IEEE中国
· IEEE电气电子工程师学会 ·
往
期
推
荐
如何进入数据科学领域:入门岗位与多元化职业路径
机器人行业迈向真实应用,专家关注2026年关键转变
聚变初创企业商用反应堆设计获重大进展
如何减少对智能手机的依赖?