2026年7月3日,安全厂商Sysdig发布了一份引发行业震动的报告:其威胁研究团队首次记录到一例由AI Agent完全自主执行的勒索软件攻击,并将攻击者命名为JADEPUFFER。这不是人类用AI辅助写攻击代码,而是AI自己完成了从漏洞扫描、凭证窃取、横向移动到数据库加密和勒索信息留存的完整攻击链。本文将深度解读这一事件的技术细节、影响和防御建议。
一、事件概述
JADEPUFFER攻击的起点是一台暴露在公网的Langflow服务。攻击者利用CVE-2025-3248漏洞,在无需身份验证的情况下远程执行Python代码。随后,AI Agent自主完成了以下步骤:收集OpenAI、Anthropic、DeepSeek、Gemini等API密钥;窃取阿里云、腾讯云、华为云、AWS、Google Cloud、Azure等云平台凭证;通过MinIO默认密码访问对象存储;横向移动到MySQL和Nacos服务器;加密全部1342条配置数据并留下比特币赎金信息。
二、为什么这是"全球首例"
以往勒索攻击虽然可能使用自动化脚本,但关键决策(如选择目标、绕过防御、谈判赎金)通常由人类控制。JADEPUFFER的特殊之处在于:
- 全程零人工干预:从入侵到加密,所有决策和执行由AI Agent自主完成。
- 多步骤推理能力:Agent能够根据中间结果调整策略,例如发现MinIO默认密码后继续深入。
- 跨平台凭证窃取:自动识别并提取多种云服务和AI平台的访问密钥。
三、技术路径分析
攻击链可分为五个阶段:
- 初始访问:利用Langflow CVE-2025-3248漏洞获取RCE。
- 侦察与凭证收集:扫描环境变量、配置文件,提取API Key和云凭证。
- 横向移动:利用Root账号和已知漏洞入侵MySQL、Nacos等服务。
- 数据加密:对1342条配置数据执行加密操作。
- 勒索收尾:留下比特币钱包地址和赎金信息。
四、对AI Agent安全的警示
JADEPUFFER事件说明,AI Agent的能力正在被攻击者利用。企业需要重新审视:
- 暴露在公网的服务是否存在已知CVE漏洞;
- API Key、数据库密码等敏感凭证是否分散存储;
- 默认密码和弱口令是否已被清理;
- 内部网络是否具备横向移动检测能力。
五、防御建议
立即行动:更新Langflow等依赖组件、禁用默认密码、使用密钥管理服务、限制公网暴露面。
长期建设:建立AI Agent行为基线、部署零信任架构、加强日志审计与异常检测。
六、总结
JADEPUFFER是全球AI安全史上的一个里程碑事件。它提醒我们,AI Agent不仅能提升生产力,也可能成为更聪明的攻击者。对于运营Claude、OpenAI等AI服务的企业,密钥管理和访问控制必须放在首位。更多AI安全与效率工具,请关注AiVsly AI工具导航。