维度网讯,安全公司Sysdig近日披露一个完全由AI代理驱动的勒索软件攻击案例,攻击者利用该技术对暴露于关键漏洞的设备发起自动化攻击。此次攻击中使用的勒索软件名为“JADEPUFFER”,它通过去年在开源框架Langflow中发现的漏洞CVE-2025-3248入侵数据库服务器。
JADEPUFFER以暴露于CVE-2025-3248漏洞的设备为目标。该漏洞允许攻击者远程执行代码,由于Langflow服务器通常连接互联网并持有开发AI应用所需的API密钥或云凭证,因此风险更高。Langflow是一个用于开发大型语言模型应用的开源框架,为经验不足的用户提供了便捷的应用创建环境。
在漏洞公开后,美国网络安全和基础设施安全局(CISA)已将其列入“已知被利用漏洞”列表并敦促修补。尽管如此,利用该漏洞的案例仍持续出现,去年7月曾用于分发僵尸网络恶意软件。此次JADEPUFFER攻击成功入侵后,会识别系统结构,收集各种AI服务的API密钥以及亚马逊云服务(AWS)和Azure的云凭证,随后攻击转向MySQL数据库和阿里云的云原生平台“Nacos”。攻击者获取管理员权限登录数据库后,加密所有配置值并留下勒索消息。
Sysdig在调查中发现了JADEPUFFER由AI运行的证据。攻击过程中包含大量解释每个操作原因的自然语言注释。Sysdig指出,人类不会为一次性代码添加详细说明,但LLM在代码生成过程中会这样操作。此外,代码修改速度也引人关注:即使发生错误,也仅需31秒即可修改代码并成功连接,相关代码有15行,类似模式在整个会话中重复出现。Sysdig强调,人类读取错误信息、分析原因并修改所需时间超过31秒。
此次攻击表明,勒索软件不再局限于熟练技术人员。过去,攻击者需亲自完成制作勒索软件、利用漏洞及勒索的全过程。尽管勒索软件即服务(RaaS)组织通过暗网传播降低了准入门槛,但人为干预部分仍然存在。JADEPUFFER成功用AI代理实现了攻击过程自动化,Sysdig预计类似攻击将接踵而至。
Sysdig建议,为避免此类攻击,应将Langflow更新为修复CVE-2025-3248的版本,并避免将代码执行端点暴露在互联网上。同时建议不要使用API密钥或云凭证运行AI控制服务器。
此类基于AI的勒索软件仍处于早期阶段。虽然已确认一些类似案例,但尚未达到JADEPUFFER的自动化水平。在钓鱼邮件或漏洞探测等攻击初期阶段,AI的使用更为活跃。Everyzone团队负责人Kim Jun-young表示,AI自动攻击的案例部分研究已确认但并不突出,而在制作精良的钓鱼邮件或窃取凭证等初期入侵工作中,AI的应用更为显著。他补充道,用户警惕是首要,但完全阻断攻击很困难,应聚焦快速恢复,构建从反勒索软件到数据备份的多层防御体系来应对勒索软件。










