首个 AI 主导勒索软件现身:JadePuffer 攻击复盘与警示

内容管家 AI领域评论0字数 981阅读3分16秒阅读模式
首个 AI 主导勒索软件现身:JadePuffer 攻击复盘与警示

背景:全球首例"自主执行"勒索软件

上周,云安全公司 Sysdig 宣布发现了全球首例"自主代理勒索软件"(agentic ransomware)。攻击行动被命名为 JadePuffer,其核心特征是:整个技术执行流程——从入侵漏洞服务器、窃取凭证、内网横移、加密文件,到生成勒索信——全程由 AI 代理完成,而非人类黑客手动操作。有报道将该行动描述为"无任何人类监督""键盘后无人"。

人类角色:仍有参与,只是换了位置

Sysdig 高级威胁研究总监 Michael Clark 随后接受 CyberScoop 采访时澄清了细节。他指出,人类并非完全缺席,只是退出了技术执行环节。具体来说,人类仍在幕后完成了以下工作

  • 设立并启动整个行动
  • 调配指挥控制(C2)服务器、用于存放被盗数据的中转服务器
  • 手动选择攻击目标

此外,入侵受害者数据库所用的凭证并非 AI 代理自行获取,而是攻击者通过另一轮入侵提前窃取后手动提供的。

Sysdig 同时澄清了关于"多个模型参与攻击"的说法。此前有报道称攻击现场发现了 OpenAI、Anthropic、DeepSeek 和 Gemini 的 API 密钥,一度引发关于"多模型分工协作"的猜测。Clark 明确表示:这些密钥是 AI 代理从受感染主机上一并扫获的战利品,而非驱动攻击决策的模型证据。"它们只能说明攻击者认为哪些东西值得拿,但无法告诉我们究竟是哪个模型在发号施令。"至于运行 JadePuffer 的具体模型,Sysdig 目前也无法确认。

攻击路径:Langflow 漏洞为入口,MySQL 为目标

抛开人类参与的讨论,本次攻击的技术细节本身已足够引人关注。AI 代理的攻击链路如下:

  1. 入口:利用 Langflow——一款流行的开源 LLM 应用构建工具——的已知漏洞进入服务器
  2. 横移:跳转至生产环境 MySQL 服务器,利用另一已知漏洞获取管理员权限
  3. 加密:加密逾 1,300 条配置记录
  4. 勒索:AI 代理不仅自动生成了勒索信,还自行附上了接收比te币 的地址

值得注意的是,整个过程中该代理展现了异常的速度和自适应能力:当登录失败时,它在 31 秒内完成修复,并在代码注释中全程用自然语言"讲解"自己的推理过程——透明度极高,令防御方更容易溯源,但也意味着攻击正在变得越来越"可读"。

影响与建议:成本下降后的勒索生态变局

微软研究员 Geoff McDonald 基于自身红队经验推测,驱动此次攻击的更有可能是被剥离安全训练的开放权重模型(open-weight model),而非前沿大模型——因为前沿实验室的安全护栏仍相对稳固。

McDonald 还在 LinkedIn 上警告:勒索活动的边界正从"人类工时"转向"攻击者预算",理论上可实现数千乃至数万次并行行动。不过 Clark 指出,考虑到每次行动仍需人类选择目标、调配基础设施、获取数据库凭证,这在当前阶段仍是隐性瓶颈。

无论细节如何定性,核心警示已经清晰:运行一个 AI 代理的成本极低,一旦攻击者将 human-in-the-loop 压缩到最小化,勒索软件的规模化和自动化程度将远超传统模式。Sysdig 尚未观察到 JadePuffer 对其他目标发动二次攻击,但 Clark 预计这只是时间问题。

延伸阅读

 
内容管家

发表评论