跳转到主内容
Abstract AI agent attack path across exposed cloud servers and databases

JADEPUFFER 显示 AI 代理如何把旧漏洞串成勒索攻击

Sysdig 称 JADEPUFFER 利用 LLM 代理,通过已知的 Langflow 漏洞自动化数据库勒索行动,把常见弱点串成更快的攻击链。

发布时间

06 7月 2026

阅读时间

4 分钟阅读

分享这篇文章:

目录

Slashdot 于 2026 年 7 月 2 日报道称,安全研究人员记录了一起由 AI 代理驱动的勒索软件行动。更关键的来源是 Sysdig Threat Research Team 的报告。该报告发表于 7 月 1 日,并将 JADEPUFFER 评估为首个有记录的“代理式勒索软件”案例:一次由大型语言模型端到端推动的勒索行动,而不只是帮助人工攻击者编写脚本。

这个区别很重要,因为单个技术并不新奇。Sysdig 称,攻击者利用了 Langflow 的一个已知漏洞,复用凭据,在暴露的基础设施中横向移动,建立持久化并破坏数据。真正值得关注的是编排方式:载荷似乎会围绕目标进行推理,注释自己的意图,并在步骤失败后调整行动。

Sysdig 称发生了什么

根据 Sysdig 的说法,JADEPUFFER 通过 CVE-2025-3248 获得了对一个暴露在互联网的 Langflow 实例的初始访问权限,然后利用该被攻陷环境查找密钥,并向生产数据库目标横向移动。Sysdig 称,这场活动包括凭据收集、横向移动、持久化以及破坏性的数据库勒索流程。

研究团队指出了一些它认为更像 LLM 代理、而不是传统人工工具包的行为。攻击载荷包含自然语言推理和目标优先级说明。在一个序列中,Sysdig 称该操作在登录失败后,用 31 秒调整方法并得到可用修复。

最终影响也不是典型的“付费后恢复”场景。The Hacker NewsBleepingComputer 的安全报道都概括了 Sysdig 的发现:攻击加密或破坏了由数据库支撑的配置数据,并留下勒索要求,但恢复所需的密钥并未以受害者可用的方式保留下来。简单说,付款也不一定能恢复数据。

弱点早已公开

这个入口点对防守方很重要,因为按 Sysdig 的说法,它并不是零日漏洞。NIST 的 National Vulnerability Database 将 CVE-2025-3248 描述为 Langflow 的代码注入漏洞,影响 1.3.0 之前的版本,远程未认证攻击者可以发送特制 HTTP 请求来执行任意代码。NVD 条目给出的 CVSS 3.1 基础评分为 9.8,并将 Langflow 1.3.0 列为修复版本。

因此,JADEPUFFER 的重点不是什么神奇的 AI 新漏洞,而是被忽视的互联网暴露基础设施。Langflow 的价值在于帮助团队构建 LLM 应用和代理工作流。但它也很敏感,因为这些环境可能保存了 API 密钥、云凭据和数据库访问权限,而这些正是工作流运行所需的资源。

AI 如何改变风险

AI 代理不会让旧漏洞变成新漏洞,但它可能改变串联漏洞的成本。传统上,人工攻击者需要在侦察、凭据发现、登录失败、权限边界和清理之间维持上下文。Sysdig 的评估是,JADEPUFFER 将这个上下文循环自动化到了足以执行多阶段勒索行动的程度,而不需要人在每一步进行操作。

这并不意味着每个暴露的 AI 工作流服务器明天都会遭遇完全自主的攻击。但它意味着防守方应假设,暴露在互联网的应用服务器、保护不足的配置存储和数据库管理路径,都可能被机器速度探测。实际风险不仅是漏洞披露后的利用更快,也包括第一次尝试失败后的调整更快。

团队现在应该做什么

直接建议很明确:将 Langflow 升级到修复 CVE-2025-3248 的版本,不要把代码执行或代码验证端点直接暴露在互联网。把供应商密钥、云凭据和数据库密码从可由网页访问的 AI 编排环境中移出,放入权限受限的密钥管理系统。

Sysdig 还建议加固 Nacos,避免默认签名密钥,不要让数据库和管理员账号暴露到公网,对管理端口限制来源 IP,并实施出站流量控制,避免被攻陷的应用主机随意回连或暂存数据。这些都是常规控制,但 JADEPUFFER 表明,当攻击者能够自动连接多个薄弱点时,常规控制仍然关键。

接下来要关注什么

有用的结论是谨慎,而不是恐慌。Sysdig 所说的“首个有记录”是一个研究团队的评估,独立研究人员仍会继续讨论一次入侵需要多少自主性才应被称为代理式攻击。不过方向已经很清楚:AI 辅助入侵正在从代码生成转向操作决策。

对安全团队来说,关注清单很具体:暴露的 LLM 工作流工具、未修补的严重漏洞、存放在运行环境中的凭据、配置平台中的默认密钥,以及从不可信位置可访问的数据库。JADEPUFFER 的警告是,如果代理能够稳定连接旧技术,攻击者未必需要新技术。

标签:

#AI security #ransomware #Langflow #JADEPUFFER #CVE-2025-3248 #cloud security

33

浏览

0

分享

0

点赞

相关文章