
AI Agent借Langflow漏洞自动化勒索攻击
Sysdig称其发现首起由AI agent从头到尾执行的勒索软件攻击。威胁行为者JADEPUFFER利用已修补的Langflow漏洞入侵、窃取凭证、横向移动并加密数据库;受影响系统包括暴露在互联网上的Langflow、Nacos、MySQL和MinIO。建议立即修补、避免暴露代码执行端点、隔离密钥并加固Nacos与数据库访问。
安全公司 Sysdig 说,它发现了它认为是首起由 AI agent 从头到尾执行的勒索软件攻击。
其 Threat Research Team 将操作者称为 JADEPUFFER,并表示一个大型语言模型完成了整个工作:入侵、窃取凭证、深入网络内部,然后加密并清除一家公司的生产数据库。
勒索软件过去总需要某个环节里有熟练的人,不管是在键盘前操作,还是编写恶意软件遵循的脚本。如果一个模型能自行串联这些步骤,那么运行攻击所需的技能就会降到租用一个 AI agent 的成本。
入侵方式是一个老旧、已经修补的漏洞。JADEPUFFER 利用的是 CVE-2025-3248,这是 Langflow 中一个缺少认证的漏洞。Langflow 是一款用于构建 AI 应用和 agent 工作流的开源工具。该漏洞允许任何能访问服务器的人在其上运行自己的 Python 代码,无需登录。
Langflow 服务器之所以有吸引力,是因为它们往往直接暴露在互联网上,并保存着它们所连接服务的 API keys 和 cloud credentials。
该漏洞已在 Langflow 1.3.0 中修复,并于 2025 年 5 月被加入 CISA 的 Known Exploited Vulnerabilities 清单,但仍有大量服务器从未更新。它甚至不是唯一一个正被这种方式利用的 Langflow 漏洞。
一旦进入,agent 行动很快,而且会清理痕迹。它先对机器进行映射,然后搜寻 secrets:AI 服务的 API keys(OpenAI、Anthropic、DeepSeek、Gemini)、cloud credentials(包括 Alibaba 和 Tencent 等中国厂商,以及 AWS、Google 和 Azure)、crypto wallet keys,以及 database logins。
它使用工厂默认登录名(minioadmin:minioadmin)入侵了一台 MinIO storage server,而该密码从未被更改。它还设置了回连通道,添加了一个每 30 分钟向攻击者服务器 ping 一次的 scheduled task。
随后它转向真正目标:一台单独的、面向互联网的服务器,运行着 MySQL database 和 Alibaba 的 Nacos。Nacos 是微服务环境中常见的配置和服务目录。该 agent 以 root 身份登录了数据库。
Sysdig 说,它从未看到这些 root 凭证的来源,因此其来历未知。随后,它利用一个 2021 年的 authentication bypass(CVE-2021-29441)和 Nacos 自 2020 年以来一直未变的 default signing key 接管了 Nacos,然后植入了自己的 admin account。
没有密钥的勒索说明
该 agent 加密了全部 1,342 个 Nacos 配置,删除了原始表,并留下一份勒索说明,要求以 Bitcoin 支付并通过 Proton Mail 联系。它生成了一个随机 encryption key,只在屏幕上打印过一次,之后从未保存或发送到任何地方。
没有可交付的密钥。即使受害者付款,也无法取回数据。(该说明声称使用 AES-256;Sysdig 指出它所用工具默认是较弱的 AES-128,不过结果相同。)
随后它更进一步,删除了整个数据库,并在自己的代码里留下一条注释,声称它已经把数据复制到了别处。
Sysdig 说,那是 agent 自己在说话,而不是团队能够证实的内容,并且没有发现任何数据确实被留下的证据。
专家如何判断是 AI 在驱动
最明显的迹象来自代码本身。攻击载荷充满了用普通英文写出的注释,解释每一步为什么要这样做;这是人类黑客通常不会写、但模型默认会生成的运行说明。该 agent 还以机器速度修正了自己的错误。
在一个案例中,它从一次登录失败到在 31 秒内完成正确的多步骤修复,诊断的是准确原因,而不是盲目重试。Sysdig 统计到整个行动中有超过 600 个独立且有明确目的的 payloads。
还有一个细节仍然是个谜。勒索说明中的 Bitcoin 地址,恰好是 Bitcoin 自己的开发文档中反复出现的样例地址,这意味着它会出现在模型训练所用的大量文本里。它同时也是一个真实、活跃且有长期收款记录的钱包。
Sysdig 无法判断,该模型是简单地从记忆里复制了一个看起来熟悉的地址,还是操作者故意使用了一个恰好与著名示例相同的真实钱包。
更大转变的一部分
JADEPUFFER 是 AI 驱动攻击快速发展一年中的最新一步。2025 年 8 月,研究人员在 ESET 标记了 PromptLock,将其称为首个 AI-powered ransomware;但后来证明那只是纽约大学的一个实验室原型 Ransomware 3.0,而不是真实攻击。
在差不多同一时期,Anthropic 报告了一起真实的勒索/敲诈行动,该行动使用其 Claude Code 工具攻击了至少 17 个组织,索赔金额超过 500,000 美元,不过那次仍由人类操控。
2025 年 11 月,Anthropic 披露了其所称的首起大体自主的 cyberattack:一次与中国国家相关的间谍行动,Claude 被用来编写 exploits 并窃取数据,而几乎不需要人工协助。那次行动中,AI 还编造了不存在的凭证,这也许与 JADEPUFFER 那个奇怪的 Bitcoin 地址是同一种 hallucination。
严重攻击的各个环节正在被自动化,而过时、未打补丁的软件成了最容易下手的首要目标。Agents 让把已知漏洞的整个历史目录全部投递一遍几乎没有成本,因此被遗忘的服务器只会更暴露,而不是更安全。
防御者应做什么
修复措施很熟悉。给 Langflow 打补丁,不要把它的代码运行端点暴露到互联网上。不要让 AI 工具在环境变量里带着 cloud keys 和 provider credentials 运行;把 secrets 放在正规的 manager 中,远离任何 web 可访问的位置。
加固 Nacos:更改 default signing key,将其置于公共互联网之外,并且绝不要让它以 root 身份连接数据库。不要让数据库的 admin account 暴露在互联网上,并限制 outbound traffic,避免被入侵的服务器向外回连。
由于攻击者现在可以在数小时内武器化一条新的 advisory,Sysdig 认为,运行时监控恶意行为比追着打补丁更重要。
Sysdig 公布的此次行动 indicators 包括:
Entry point: CVE-2025-3248 (Langflow unauthenticated remote code execution)
Command-and-control: 45.131.66[.]106,每 30 分钟向 hxxp://45.131.66[.]106:4444/beacon 发起一次 beacon
Claimed staging server: 64.20.53[.]230
Ransom Bitcoin address: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; contact e78393397[@]proton[.]me; ransom table named README_RANSOM
Sysdig 将 JADEPUFFER 称为一个警示信号,而不是一场危机。单个动作本身没有哪个是聪明或新颖的。新的地方在于,一个模型把这些动作串成了一次针对被忽视服务器的完整攻击,而且是独立完成的。
随着 agent 工具成熟,类似情况只会更多;任何暴露的服务器、config store 或 database admin login,都应被视为机器会去探测的对象,而不仅仅是人会去探测。