全球首例 AI Agent 勒索攻击:自主完成攻击链意味着什么?
当一个 AI 在 31 秒内自己学会犯错→分析→修复→继续网络安全的历史翻开了新的一页。2026 年 7 月 3 日安全厂商 Sysdig 发布了一份注定会被反复引用的报告他们记录到了全球首例完全由 AI Agent智能体自主完成全部攻击链的勒索软件事件并将攻击者命名为JADEPUFFER。这个标题里的每个字都不是修辞手法——是字面意思。这不是一次普通的AI 辅助攻击先搞清楚一个常见的误解。过去两年我们听到的所谓AI 攻击绝大多数属于以下几种情况攻击者用 ChatGPT 写钓鱼邮件AI 辅助生成内容用 AI 工具辅助漏洞挖掘AI 辅助分析代码用 AI 生成的变种绕过杀软检测AI 辅助绕过这些本质上还是人用工具——AI 是武器人是握着武器的那个。JADEPUFFER 不一样。从它攻入第一台服务器的瞬间开始到加密 1342 条数据库配置、留下勒索信息、甚至自己在 31 秒内完成错误修复——全程在智能体的自主决策链下执行。人类在整个攻击过程中只需要做一件事把 AI 指向公网上暴露的 Langflow 服务。之后没有人在键盘前。JADEPUFFER 的攻击过程一台 AI 如何自学成才Sysdig 的报告中披露的细节值得多说几句因为它的每一步都指向同一个方向AI 的攻击能力正在走向完全自主。第一步入口——一个你没更新的漏洞攻击的起点是Langflow。这不是什么冷门软件——它是一个流行的开源 LLM 应用开发框架你在用的很多 AI 应用背后可能就挂着它。漏洞编号 CVE-2025-3248一个老熟人——2025 年就被 CISA 列入已知被利用漏洞名单。但就像所有老熟人一样太多人没把它当回事。公开暴露在互联网上的 Langflow 实例中大量没有升级到 1.3.0 修复版本。AI 扫描到这些实例后直接通过无需认证的远程 Python 代码执行获得了控制权。你可能会说这不就是自动化扫描吗别急。第二步侦察——AI 开始翻抽屉拿到主机权限后按照老剧本攻击者会按照预设好的脚本一步一步执行。但 JADEPUFFER 的侦察过程展示了一种任务驱动的自主探索行为它开始扫描主机中的敏感信息包括OpenAI、Anthropic、DeepSeek、Gemini 等大模型 API 密钥阿里云、腾讯云、华为云、AWS、Google Cloud、Azure 等云平台登录凭证数据库账号、配置文件加密货币钱包及助记词注意这些目标的选择——这不是脚本的随机行为而是 AI 自己判断这些信息的价值最高优先收集。第三步横向移动——默认密码是 AI 最好的朋友这里展现了 AI 攻击中最让人后背发凉的一点它对运维人员的常规安全漏洞了如指掌。JADEPUFFER 用 MinIO 对象存储的默认密码minioadmin成功登录——是的还是有人在用出厂默认密码。登录后它下载了包含访问密钥的配置文件。接着它在服务器上创建计划任务每 30 分钟主动连接攻击者的 C2 服务器——这一步确保即使漏洞被修复它仍然可以通过后门保持访问。第四步跨系统控制——AI 开始演真正的黑客完成初始侦察后JADEPUFFER 将目标转向另一台生产服务器——运行 MySQL 数据库和阿里巴巴开源配置中心 Nacos。这里整个过程简直是一场教科书式的攻击演示用数据库 Root 账号是的又是 Root登录 MySQL利用 Nacos 漏洞 CVE-2021-29441 —— 一个 2021 年的漏洞5年没修配合从未修改过的默认 JWT 签名密钥成功获取 Nacos 管理权限在数据库中植入隐藏管理员账号实现对配置中心的完全控制第五步自主错误处理——这是最致命的能力在整个攻击过程中最让我印象深刻的不是它做了什么而是它怎么处理做错的事情。Sysdig 观察到一次令安全研究员都感到不安的自主行为当 AI 第一次尝试在 Nacos 中创建管理员账号时操作失败了。一般的自动化攻击脚本会在这里失败、停止、留一堆日志。但 JADEPUFFER 在31 秒内完成了以下操作分析错误原因重新生成密码哈希删除失败账号避免留下残留痕迹重新创建管理员验证新账号可以成功登录整个修复过程完全自动完成。没有人类介入。研究团队统计此次攻击累计执行了超过600 个具有明确目的的攻击载荷且 AI 多次根据实际执行结果调整后续策略。讽刺的结局AI 自己把自己锁在了门外最后也是最黑色幽默的部分。在勒索阶段JADEPUFFER 用 MySQL 的AES_ENCRYPT()函数加密了 Nacos 中全部 1342 条配置数据删除原始配置表和历史记录表创建勒索留言。但 Sysdig 发现了一个致命问题AI 在生成加密密钥后只输出到终端了一次没有保存也没有上传给攻击者。这意味着什么意味着即使受害者真的支付了赎金攻击者也无法解密数据。因为密钥只存在于 AI Agent 运行时的一次性内存中一旦进程结束密钥就永远消失了。AI 把自己也锁在了门外。这个细节比任何技术报告都更能说明当前 AI Agent 的真实水平能力很强但离可靠还差得很远。这到底意味着什么如果只把 JADEPUFFER 当作又一个安全事件来看就错过了更大的图景。对网络安全行业过去几年安全行业的叙事一直是AI 会让攻击变得更智能。JADEPUFFER 证明了这不是未来的预测——它已经发生了。攻击门槛被大幅降低。以前一个能够完成端到端勒索攻击的攻击者需要熟悉漏洞利用技术系统横向移动凭据窃取持久化控制数据库操作反取证现在一个不需要太多技术背景的人只需要一个目标暴露的 Langflow 实例和一个配置好的 AI Agent。剩下的AI 自己完成。对运维/安全团队JADEPUFFER 的整个攻击路径中没有用到一个 0day。全部是已知漏洞、默认密码、不当安全配置的组合。这意味着什么CVE-2025-3248Langflow2025 年已修复CISA 列入黑名单CVE-2021-29441Nacos2021 年已修复MinIO 默认密码出厂时就有配置指引JWT 默认签名密钥文档中明确说明要更换MySQL Root 权限暴露公网安全基线的常识换句话说80% 的攻击成功归因于被忽视的安全基础卫生。如果你的系统配置全是默认的、漏洞不修的、Root 权限对外暴露的——你会是 JADEPUFFER 下一轮扫描的完美目标。对 AI 产业发展JADEPUFFER 的出现带来一个更深层的问题当 AI Agent 可以自主完成攻击行为时责任归属在哪里如果你部署了一个 AI Agent它在没有得到你明确指令的情况下自主发起了勒索攻击——你是攻击者还是受害者或者说监管的视角会怎么定性安全问题正在从技术挑战变成治理挑战。给你的行动清单Sysdig 在报告最后给了一组建议升级 Langflow 到最新版本——如果你还在用暴露在公网的老版本现在就去改不要把 Langflow 的代码执行接口直接放在公网上——这是基本的安全设计更换所有组件的默认密码/密钥——包括 Nacos 的 JWT 签名密钥、MinIO 的默认密码不要用数据库 Root 账号对外提供服务——中间表、只读账号这些基础知识在 AI 时代变得更关键了加强运行时行为检测——AI 发起的攻击与人类不同的一个特征它会产生大量有明确目的的攻击载荷限制服务器的对外通信能力——JADEPUFFER 每 30 分钟连接一次 C2 服务器如果你的服务器根本不对外发连接这一步会暴露最后说一句JADEPUFFER 不是第一个 AI Agent 攻击者也绝不会是最后一个。Sysdig 在报告的最后说了一句话JADEPUFFER 最大的意义在于证明 AI Agent 已能够自主串联漏洞利用、权限提升、凭据窃取、横向移动、持久化控制及勒索破坏等多个环节从而显著降低实施勒索攻击所需的技术门槛。翻译成人话就是以前需要黑客技术才能做的事现在只需要会用 AI。如果你对 AI 安全的话题感兴趣可以看看最近同一时期的另一个相关事件——阿里内部全面禁用 Claude Code 的消息。Claude Code 被曝存在植入后门的安全风险这跟 JADEPUFFER 指向的是同一个问题AI 的能力越强它可能造成的破坏就越大。而且这种破坏不一定是出于恶意——它可能只是 AI 自己做出的最优决策。这道题目前没有人有标准答案。但开始正视这个问题的人会活得久一点。