标签

AI智能体勒索攻击:并非完全自主

发布时间:2026-07-13 19:18阅读:2

深度调查 · 网络安防

AI黑客觉醒,还是攻击自动化换了动力?

2026年7月,一条颇具末日片气质的消息刷屏:全球首例“AI智能体全自动勒索攻击”出现,代号JADEPUFFER。没有人类操纵,AI自己找漏洞、进服务器、改脚本、删数据库,最后还不忘留下比特币地址。

标题很刺激,仿佛《终结者》终于考过了网络工程师认证。但把原始报告、后续采访和技术细节摆在一起,事情既没有那么玄幻,也远比“AI写了段病毒代码”更值得警惕。

先说结论:这不是AI黑客觉醒,而是攻击自动化从“照着菜单点菜”,升级成了“会看冰箱、会改菜谱、锅糊了还知道调小火”。

JADEPUFFER的真正突破,是它能在真实环境里完成“观察—判断—生成—执行—纠错”的闭环。至于选谁下手、基础设施怎么搭、关键凭据从哪来,背后仍有一双人类的手。

JADEPUFFER不是突然从互联网雾气里长出一只电子手,随便抓住一台VPS就开始勒索。它是一场至少跨越两台服务器的分阶段行动。

攻击不是一记飞踹,而是一条会根据环境改道的流水线。

第一站:Langflow。攻击利用CVE-2025-3248——一个未经认证即可远程执行Python的已知漏洞。它不是AI自主发现的零日,更像一扇去年就通知修锁、今年还敞着的后门。

第二步:翻箱倒柜。Agent枚举系统、网络、进程,并搜索OpenAI、Anthropic、DeepSeek、Gemini等模型密钥,以及云凭据、数据库配置、钱包和助记词。AI应用服务器由此暴露出一个尴尬身份:表面是工作流平台,背地里常常是“全公司钥匙串”。

第三步:留下后手。它创建定时任务,每30分钟回连一次命令控制服务器。传统入侵该有的仪式感,它一样没落下。

第四步:转向真正目标。攻击从暴露公网的Langflow主机,转向另一台运行Nacos和MySQL的生产服务器。第一台机器是门厅,第二台才是保险库。

第五步:破坏和勒索。Agent加密了1,342条Nacos配置记录,删除原始表和历史数据,并创建README_RANSOM表,放入比特币地址和Proton Mail联系方式。

注意,是1,342条配置记录,不是网传的“1,300多张核心配置表”。后者听起来像一个DBA连夜写辞职信,前者已经足够让业务团队集体失眠。

让ChatGPT写一段恶意代码,再由人类手工执行,叫“AI辅助攻击”;预先写好几百条命令依次执行,叫自动化脚本。Agent的门槛更高:它必须接收环境反馈,并据此改变下一步。

Sysdig捕获的载荷包含大量自然语言注释:当前目标是什么、哪些数据库“回报率高”、为什么要这么做、完成后准备去哪。职业攻击者通常不会边删库边写作文,LLM却经常忍不住把工作心得塞进代码。

这能强烈暗示代码由模型生成,但还不能单独证明“自主”。毕竟人类也可以让模型写完,再复制粘贴。真正有分量的是后面的行为闭环。

研究人员观察到600多个不同且具有明确目的的载荷。它们不是机械排队,而会根据上一步输出改变参数、目标和处理方式。换句话说,系统很可能正在循环执行:

观察结果 → 判断状态 → 生成方案 执行动作 → 读取反馈 → 继续修正

真正的新东西不是“会执行”,而是“失败后知道换一招”。

一次登录失败后,它在约31秒内调整方案并成功。更有代表性的例子是:删除数据库因跨库外键约束失败,后续载荷主动关闭FOREIGN_KEY_CHECKS,重新删库,再恢复检查。

这不是“网络不通,再ping一次”,而是把报错原因映射到合适的数据库操作。能力谈不上高深,却足以替代许多人工排错时间。

但别急着喊“CoT实锤”。研究人员看到的是外部载荷、注释和行为,没有看到模型内部思维链,也不知道具体模型、系统提示词和Agent配置。严谨说法是:它呈现出与状态理解、错误诊断和计划修订一致的外部行为。

后续采访把最热闹的标题降了几度。Sysdig负责人Michael Clark澄清:人类攻击者仍负责组织行动、搭建基础设施、寻找初始访问条件和选择受害者;LLM负责后续技术攻击流程。

把自主性拆开看,答案就不神秘了

自主选择犯罪目标:没有证据

自主发现公网资产:证据不足

自主制定技术步骤:较强迹象

自主执行、观察、纠错:较强迹象

自主管理收款与数据恢复:基本翻车

所以更准确的描述是:战略由人类设定,战术由Agent高度自动执行。它不是自由职业黑客,而是一个拿到任务、权限和工具后,可以连续干活的数字外包工——只是KPI有点违法。

JADEPUFFER后来使用root凭据连接目标MySQL,但Sysdig没有观察到这些凭据从第一台受害主机中被窃取,其