AI智能体利用Langflow漏洞实施首次全自主勒索软件攻击

作者: CBISMB

责任编辑: 邹大斌

来源: CBISMB

时间: 2026-07-07 12:30

浏览: 2

点赞: 0

收藏: 0

云安全公司Sysdig记录了其所称的首次由自主AI智能体从头到尾独立完成的勒索软件攻击行动,并将其命名为JadePuffer。

Sysdig威胁研究团队在上周发布的研究中详细说明了发现。一个大语言模型运行了整个入侵过程:突破暴露的服务器、窃取凭据、深入网络内部,最终加密并擦除了一家公司的生产数据库。

勒索软件攻击以往总需要人参与——在键盘前操作,或至少在恶意软件运行的脚本背后。将人从中剔除后,攻击成本降到仅需租用一个AI智能体的费用。

在研究人员详述的案例中,JadePuffer通过CVE-2025-3248强行入侵,这是Langflow中的一个严重漏洞。Langflow是许多团队构建AI应用和智能体工作流所依赖的开源框架。该漏洞严重性评分9.8,接近最高值。修复补丁在攻击前早已发布,当局也于2025年5月将此漏洞列入已被利用漏洞名单。然而大量暴露实例始终未更新。

入侵后,智能体开始搜寻密钥。它导出了Langflow的PostgreSQL数据库并提取了其中所有凭证。战利品范围广泛:OpenAI、Anthropic、DeepSeek和Google等AI服务的API密钥,以及AWS、Microsoft Azure、阿里巴巴和腾讯的云登录凭据。加密货币钱包密钥和数据库密码也一并被窃取。附近的一个MinIO对象存储因无人更改出厂默认登录凭据而沦陷。在继续行动前,智能体还植入了一个每30分钟向攻击者服务器发送心跳的定时任务。

接下来是真正的目标:第二台面向互联网的服务器,运行着MySQL数据库和阿里巴巴的Nacos配置平台。智能体以root身份登录。为接管Nacos,它利用了2021年的一个身份验证绕过漏洞和Nacos自2020年以来一直未更改的默认签名密钥,随后悄悄添加了自己的管理员账户。

随后是载荷投放。它加密了全部1342个Nacos配置项,删除了原始表,并留下了一封要求比特币赎金的勒索信,附有一个Proton Mail联系地址。

但支付赎金无济于事。加密密钥随机生成,仅在屏幕上打印一次后即丢弃——既未保存也未发送到任何地方。满足赎金要求,数据仍然被锁死。智能体还超越了加密本身,直接删除了整个数据库模式。它甚至在代码中留言声称已将数据复制到其他位置,不过Sysdig未发现任何证据支持这一说法。

研究人员确认是机器在操控全局,因为代码暴露了线索。载荷中充斥着用通俗英语写的注释,解释每一步操作背后的推理——这种实时评论是人类攻击者不会费心去写的,却是模型的习惯输出。

智能体还以人类无法匹敌的速度修正自身错误。在一次案例中,它从登录失败到完成正确的多步骤修复仅用了31秒,而且是通过分析出真正原因而非简单重试。Sysdig统计,整个行动中智能体执行了超过600个独立且有目的的载荷。

这一发现出现在AI驱动犯罪繁忙的一年。今年8月,ESET研究人员将PromptLock称为首个AI驱动的勒索软件,但后来发现它只是大学实验室原型而非野外传播的威胁。同一时期,Anthropic描述了一场真正的勒索行动,利用其Claude Code工具攻击了至少17个组织。到11月,该公司报告了更大的事件——所谓的首次大规模自主网络攻击,与涉嫌中国间谍活动有关。但在所有这些案例中,人类仍然在某种程度上参与了操控。

Sysdig的建议听上去并不陌生:修补Langflow,将其代码运行端点远离开放互联网。将密钥存储在专用管理器中,而非暴露在面向互联网的AI工具环境中。永远不要让数据库管理员账户可从Web访问。该公司更大的观点在于速度:攻击者现在可以在数小时内将新漏洞公告转化为可用的攻击代码,因此在运行时监控异常行为比赢得补丁竞赛更为重要。

SOCRadar网络安全情报公司CISO Ensar Seker表示,此次事件的意义在于自动化程度而非复杂程度。"变化在于AI智能体能够自主串联侦察、利用漏洞、凭据发现、横向移动和勒索,同时实时适应失败,"Seker说,"这大幅降低了勒索软件活动的运营成本,使攻击者能够同时执行远超人类团队能力范围的行动数量。"

他告诫不要过度关注标题,指出入侵始于运行已知公开漏洞的暴露实例。"AI正在加速攻击者,但它仍然是在利用基本的安全弱点。"

KnowBe4安全意识倡导者兼CISO顾问Erich Kron表示,此类攻击的到来是不可避免的。"鉴于网络犯罪每年带来的巨额收益,恶意行为者利用最新技术进行真正的自主攻击只是时间问题,"Kron说,"智能体与LLM的显著区别在于它们是目标导向的实体,会想方设法利用所提供的工具完成任务。这是一种全天候、全球范围高效攻击组织的方式。"

©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。