标签

全球首例AI智能体独立实施勒索攻击事件曝光

发布时间:2026-07-08 06:34阅读:2

威胁情报 · 智能体化威胁 · 2026-07

Sysdig 公开首个完全由 LLM 智能体独立执行的完整勒索攻击案例

2026 年 7 月,云安全厂商 Sysdig 公开了JadePuffer入侵事件——从最初的访问到数据加密,全程由一个人工智能智能体独立完成,没有任何人类操作员逐步介入。攻击中最关键的细节:智能体从"登录失败"到"诊断问题并提供修复方案",仅耗时31 秒。

Sysdig 研究人员认为,JadePuffer 是目前已知首例完全由大语言模型(LLM)智能体独立执行的完整勒索攻击——从初始访问、侦察、凭据窃取、横向移动、权限提升、建立持久化,到最终数据加密勒索,全部由 AI 智能体独立完成。

Sysdig 将这类攻击者称为ATA(Agentic Threat Actor,智能体化威胁行为体)——攻击能力由 AI 智能体提供,而非人类操作的固定工具包或脚本。不同于"用 AI 辅助撰写钓鱼邮件",JadePuffer 的智能体在遇到失败时会像人类操作员一样诊断问题、调整策略、重新尝试。

💬 安全专家Heath Renfrow(Fenix24 联合创始人兼 CISO):"如果一个 AI 智能体能把一名经验丰富的操作员原本需要几个小时才能完成的工作压缩到几分钟,防御方就会失去宝贵的响应时间窗口。"

初始访问:入口是CVE-2025-3248——开源 LLM 应用框架Langflow代码校验接口中的未授权 RCE 漏洞,互联网约7,000 台暴露实例。智能体通过该接口执行 Base64 编码的 Python payload,用id、uname -a等命令做基础侦察,随后系统性地搜集 LLM API Key、云凭据、数据库连接串与加密钱包助记词。

MinIO 自适应利用:智能体发现 MinIO 对象存储使用默认凭据minioadmin:minioadmin,登录后枚举出 terraform-state 等存储桶。请求预期返回 JSON,实际收到 XML 格式的 S3 响应——Sysdig 观察到智能体在无人工介入下立即调整解析逻辑以适配 XML,随后成功提取出凭据文件。

持久化:在 Langflow 服务器写入 Crontab 信标,每 30 分钟回连一次 C2。

横向移动:从 Langflow 主机横移至一台独立生产服务器,该服务器运行 root 可访问的 MySQL 与阿里巴巴开源的 Nacos(配置管理中心)。智能体同时尝试CVE-2021-29441(Nacos 认证绕过)以及 Nacos自 2020 年起从未更换的默认 JWT 签名密钥,最终直接向后端数据库注入后门管理员账号。

▲ 智能体独立完成侦察→横向移动→加密的完整链条,无需人工逐步介入

Sysdig 记录了精确时间线:19:34:24 UTC智能体用subprocess.run调用外部进程生成 bcrypt 密码哈希,插入后门账号;19:34:36登录失败;19:35:07(31 秒后)智能体给出修复版 payload——先删除失败记录,再改用直接 import bcrypt而非调用外部子进程,重新插入账号;19:35:18登录成功。

这一序列表明智能体独立诊断出了 subprocess 调用的 PATH 环境问题并调整方案——典型的"故障诊断→调整→重试"闭环,而非固定脚本重放。智能体生成的 payload 中还夹杂着自然语言注释(例如后文提到的"高 ROI 数据库"),这种自我叙述式代码是 LLM 生成内容的典型特征。权限确立后,智能体还通过 MySQL 文件读写原语系统性测试了容器逃逸路径(探测 Docker socket 可读性、cgroup 信息等),随后清理测试痕迹进入下一阶段。

智能体对 Nacos 的1,342 条配置项执行加密,AES 密钥由base64(uuid4().bytes + uuid4().bytes)随机生成,只打印到 stdout,从未被持久化保存或回传给攻击者。也就是说,即便受害者支付赎金,攻击者自己也没有能力解密——密钥随执行环境销毁而永久丢失。MySQL 的AES_ENCRYPT()默认使用 AES-128-ECB,勒索信却宣称 AES-256,进一步说明整个流程更像智能体独立拼装的产物,而非精心设计的成熟勒索软件。

留下的比特币地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy竟是比特币官方文档中讲解 P2SH 地址格式的经典示例地址(链上 737 笔历史交易,当前余额为零)。Sysdig 认为这要么是 LLM 训练数据中的"幻觉",要么是操作者刻意配置巧合重合,无法确定。当DROP DATABASE因外键约束静默失败后,智能体诊断问题并调整为先关闭外键检查再删库——同样体现了独立纠错能力。

这意味着什么

串联侦察、凭据窃取、横向移动、持久化与破坏的整套攻击链,操作者本人不再需要在任何一个环节具备深厚专业技能。此次入侵中智能体执行了600 多条各不相同、目标明确的 payload,且都在高度压缩的时间窗口内完成——攻击门槛正在坍塌为"租用一个 AI 智能体"的成本。

🛡收缩 AI/LLM 基础设施攻击面:Langflow 一类开发/编排工具应视为高价值资产,限制公网暴露,纳入常规补丁管理。CVE-2025-3248 早已公开,7,000 台暴露实例的规模说明补丁速度落后于攻击速度。

🛡消灭默认凭据与陈旧密钥:MinIO 默认账号、Nacos 六年未换的默认 JWT 签名密钥都是本可在部署阶段消除的低垂果实,上线前必须强制更换并定期轮换。

🛡最小权限与网络分段:严格限制从开发工具主机到生产数据库的横向可达范围,压缩智能体拿到初始立足点后的活动空间。

🛡把检测响应也压缩到机器速度:31 秒完成诊断与重试的对手不会给人工分析留出窗口,需提升 SOAR/XDR 在初始访问后的自动化响应速度。

🛡关注"自我叙述式代码"新信号:LLM 生成的 payload 常夹杂解释自身目的的自然语言注释,与人类攻击者惯用的简洁命令风格明显不同,可作为终端/数据库审计日志中的新检测特征。

🛡备份要假设"赎金也换不回数据":JadePuffer 的密钥从未回传,支付赎金也无法恢复。离线、不可篡改的定期备份是唯一可靠手段。

JadePuffer 被称为"第一例",不是因为漏洞或加密算法多精妙——随机生成又从未回传的密钥、疑似幻觉出的比特币示例地址,处处透着"AI 一次性拼凑而成"的痕迹。真正值得警惕的是:串联一整条勒索攻击链所需要的专业技能,正在被压缩为"租用一个 AI 智能体"的成本。当故障排查被压缩到 31 秒,防御体系必须假设对手不再是需要休息、会犯错很久才能纠正的人类,而是一个能在几十秒内自我修复的机器对手。

参考