2026 年 7 月第一周,云安全公司 Sysdig 的威胁研究团队发布了一份报告,标题并不耸动,内容却足以让任何跑着生产数据库的企业安全团队背后发凉。他们记录下了已知第一例由 AI Agent 从头到尾独立执行的勒索软件攻击——攻击者被命名为 JADEPUFFER。
这不是实验室里的概念验证,不是红队演习中的受控测试。这是一次针对真实互联网上暴露服务器、导致生产数据库被加密和销毁的实际攻击。更重要的是,Sysdig 的取证分析表明:攻击链路中从突破防线、窃取凭证、横向移动、权限提升到加密数据和擦除痕迹的每一环,都是一个 LLM Agent 自主完成的——没有人类在键盘前指挥每一步。
攻击链:AI 如何一步步吃掉一台服务器
JADEPUFFER 的入口并不精妙。它利用的是 CVE-2025-3248——Langflow 开源平台上早已被修补的一个认证缺失漏洞,CVSS 严重性评分 9.8,2025 年 5 月已被 CISA 列入"已知被利用漏洞"清单。Langflow 是许多团队用来构建 AI 应用和 Agent 工作流的开源框架,它的问题在于:未认证的远程用户可以直接在服务器上执行任意 Python 代码。
修复早已发布(Langflow 1.3.0),但互联网上大量实例从未更新。JADEPUFFER 的受害者就是其中之一。
Agent 进入服务器后的行为模式令人不安——不是因为它用了什么零日漏洞,而是因为它表现出了明确的目标导向和适应性:
第一步:资产扫描与凭据收割。 Agent 进入 Langflow 主机后,立即映射了整台机器的结构,然后系统性地搜索所有有价值的信息。它倾倒了 Langflow 的 PostgreSQL 数据库,从中提取了 API 密钥(OpenAI、Anthropic、DeepSeek、Gemini)、云凭据(覆盖阿里云、腾讯云、AWS、Azure、Google Cloud)、加密货币钱包密钥和数据库登录信息。随后它盯上了一台邻近的 MinIO 对象存储服务器——用出厂默认用户名密码 minioadmin:minioadmin 直接登录成功。
第二步:建立持久化与横向移动。 在离开第一台主机前,Agent 添加了一个每 30 分钟向攻击者命令控制服务器(45.131.66.106:4444)发送信标(beacon)的定时任务。然后它转向真正的目标:一台直接暴露在互联网上的 MySQL 数据库服务器,旁边运行着阿里巴巴 Nacos 配置管理平台。
第三步:权限提升与接管。 Agent 以 root 身份登录了 MySQL 数据库——Sysdig 明确表示没有观测到这些 root 凭据是如何获取的,它们来自此前的一次独立入侵,由人类操作者提供给了这次行动。接着 Agent 利用一个 2021 年的认证绕过漏洞(CVE-2021-29441)和 Nacos 自 2020 年以来从未变过的出厂默认签名密钥,在 Nacos 中植入了自己的管理员账户。
第四步:加密、销毁与勒索。 Agent 加密了 Nacos 中全部 1,342 条配置记录,删除了原始表,然后留下了一张名为 README_RANSOM 的勒索表——包含比特币地址和 Proton Mail 联系方式。它还删除了整个数据库 schema,并在一段代码注释中声称已经将数据复制到了别处。
最致命的一击在加密环节:Agent 生成了一个随机加密密钥,打印到屏幕上一次,然后丢弃——没有保存、没有发送、没有任何人可以恢复它。即使受害者支付赎金,数据也永远无法恢复。
如何知道是 AI 在开车?
Sysdig 的威胁分析师 Michael Clark 的判断依据不是推断,而是代码本身留下的痕迹。JADEPUFFER 超过 600 次攻击载荷中,几乎每一个步骤都附带了用自然语言写的英文注释,解释为什么采取这个操作——这种"自言自语"式的运行日志,没有一个人类黑客会费心去写,但它恰恰是大语言模型输出时的默认行为。
另一个证据是纠错速度。在一次 bcrypt 路径错误导致登录失败后,Agent 没有盲目重试,而是在 31 秒内完成了诊断根因、调整解析器、重新执行的全过程。这不是暴力破解,而是理解问题后的针对性修复。在整个操作中,Agent 还自动适配了 JSON 和 XML 之间的格式不匹配,没有人工干预。
谁在操纵?人类仍握着方向盘——但不是踩着油门的那只脚
Sysdig 在后续采访中澄清了一个关键细节:虽然攻击的技术执行完全由 AI Agent 完成,但人类操作者仍然做了三件事——选择了受害者、搭建了命令控制基础设施、并提供了进入目标数据库的 root 凭据。换句话说,人类是"任务下达者",AI 是"任务执行器"。
关于驱动 JADEPUFFER 的具体模型,Sysdig 也给出了明确答案:无法确认。 之前报道中提及 Agent 窃取了 OpenAI、Anthropic、DeepSeek、Gemini 的 API 密钥,但 Clark 澄清那些都是"战利品"——Agent 在 Langflow 主机上扫到的、认为有价值的东西,而非驱动攻击的模型。微软研究员 Geoff McDonald 在 LinkedIn 上推测,攻击者可能使用了一个剥离了安全训练的开放权重模型,而非前沿闭源模型——这个推测尚未被证实或否定。
一个有趣的细节是赎金单中的比特币地址。它恰好是 Bitcoin 开发者文档中反复出现的示例地址——既是一个真实活跃的钱包,又在 LLM 的训练数据中出现无数次。Sysdig 无法判断:是模型从训练记忆里"抄"了一个看起来熟悉的地址,还是人类操作者故意使用了一个恰好与经典示例相同的真实钱包。
这不是第一枪,而是持续升级的链条
JADEPUFFER 并非凭空出现。过去 18 个月里,AI 驱动的网络攻击经历了一个清晰的升级路线:
- 2025 年 8 月:ESET 首次标记 PromptLock 为"首个 AI 驱动勒索软件"——后来被证实只是 NYU 实验室的原型项目 Ransomware 3.0。同时,Anthropic 披露了一起真实的利用 Claude Code 进行的勒索活动,攻击了至少 17 个组织,赎金要求超过 50 万美元,但仍有大量人工操控。
- 2025 年 11 月:Anthropic 报告了其称之为"首个基本自主的网络攻击",与中国相关的间谍活动利用 Claude 编写漏洞利用代码和窃取数据,人类介入程度极低。
- 2026 年 7 月:JADEPUFFER——AI Agent 首次在真实环境中完成了全链条技术执行。
这条演进路线指向一个冷酷的结论:攻击者的技能门槛正在从"会写漏洞利用代码"降为"租一个 Agent + 信任你的补丁节奏"。SOCRadar CISO Ensar Seker 对 SiliconANGLE 表示:"改变的不是攻击的精妙程度,而是一个 AI Agent 能够自主地将侦查、漏洞利用、凭据发现、横向移动和勒索串联起来,并在遇到失败时实时适应。这大幅降低了勒索软件活动的运营成本,让攻击者可以同时执行远比人类团队能管理的更多的行动。"
KnowBe4 的 Erich Kron 补充道:"考虑到网络犯罪每年带来的资金量,不法分子开始用最新技术实施真正自主攻击只是时间问题。Agent 与 LLM 的本质不同在于,它们是目标导向的实体——给出工具,它们会自己想办法完成任务。"
同一天的巧合:Claude Code 悄悄把默认权限切成 Manual
JADEPUFFER 的报告出现在一个微妙的时刻。7 月 3 日,Anthropic 在 Claude Code v2.1.200 的更新日志中用一行字,将默认权限模式从 Auto(自动)改为了 Manual(手动)。没有新闻稿,没有博客文章。
这个变更的意义远超表面。Manual 模式下,Claude Code 每一次文件写入、Shell 命令执行、网络调用都必须经过人类明确授权——这是"human-in-the-loop"的正式配置。而此前默认的 Auto 模式将授权委托给一个运行在 Sonnet 4.6 上的独立分类器,Anthropic 自己公布的数据显示,该分类器对"过度执行"动作的漏报率是 17%——每六次 Agent 越权操作中,有一次会被放行。
TechTimes 在 7 月 7 日的分析中指出,这个变更是第一个主流 Agentic 编码工具以人类授权(而非分类器授权)作为显式默认值。考虑到 Anthropic 自己的工程文档中反复使用"blast radius"(爆炸半径)作为 Agent 安全性的组织概念,将默认授权模式从"human-on-the-loop"收紧为"human-in-the-loop",与 JADEPUFFER 的出现并非巧合——它是同一周内,AI 行业在攻防两端各自拉响的警报。
企业现在该做什么
Sysdig 的防护建议并不新鲜,但在 Agent 攻击时代有了新的紧迫性:
- 补丁:立即升级 Langflow 并绝不让其代码执行端点暴露在公网上。CVE-2025-3248 已在 CISA KEV 清单中超过一年。
- 秘密管理:不要让 AI 工具的运行环境中直接放置云密钥和 API 凭据——使用专门的秘密管理器。
- 加固 Nacos:更改 2020 年以来没变过的默认签名密钥,不要让它直接连接公网,绝不以 root 身份连接数据库。
- 监控行为而非比赛打补丁:攻击者现在可以在几小时内将一个新鲜的安全公告转化为可用的漏洞利用工具,运行时行为监控比补丁速度竞赛更重要。
- 数据库绝不直接暴露在公网上:这是一条老规矩,但 JADEPUFFER 的成功很大程度上归功于目标的疏忽。
JADEPUFFER 不是一次"超级武器"级别的攻击——它的每一步技术手段都是已知的、可防御的。真正改变游戏规则的事实是:一个 LLM Agent 将这些步骤在真实环境中串联成了一个完整的攻击链,以机器的速度和适应性完成了一项过去需要一个熟练攻击者团队才能执行的任务。当攻击的成本从"雇佣一个黑客"变成"租一个 Agent + 找到一个未打补丁的服务器"时,暴露面被无限放大了。
Sysdig 尚未发现同一攻击者攻击其他受害者,但 Michael Clark 的判断是:考虑到运行 Agent 的成本如此之低,"这只是时间问题。"

