文章总结: 全球首例全自动AI勒索攻击JADEPUFFER由LLM端到端驱动,利用Langflow漏洞入侵,窃取凭证后横向移动至MinIO存储,最终攻破Nacos服务并加密销毁1342条配置数据。攻击全程无人工干预,AI能自适应修正代码,颠覆了勒索攻击依赖高阶黑客技术的传统认知。防御建议包括修补Langflow漏洞、更改默认凭证、实施出口控制。 综合评分: 90 文章分类: 漏洞分析,恶意软件,AI安全,应急响应,安全运营
全球首例全自动AI勒索攻击曝光
谈思实验室
2026年7月7日 14:16 上海
在小说阅读器读本章
去阅读
点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
Sysdig团队监测到全球首例大语言模型端到端自主驱动的JADEPUFFER勒索攻击,全程无人工干预。该攻击利用Langflow漏洞突破防线,窃取各类密钥与云凭证,依托MinI0存储服务完成横向移动,自适应修正攻击代码。
攻击者最终瞄准生产服务器,攻破Nacos服务并加密、销毁千余条配置数据。此次攻击无全新漏洞,核心突破是AI可自主串联全套攻击链路,颠覆了勒索攻击依赖高阶黑客技术的传统认知,为网络安全防御敲响警钟。
Sysdig威胁研究团队记录了他们评估为首次由大语言模型(LLM)端到端驱动的勒索软件攻击行动。这个被Sysdig命名为JADEPUFFER的操作者,在无人操控的情况下入侵服务器、窃取凭证、转移到独立的生产目标、加密数据库并销毁数据。勒索软件历来需要技术娴熟的人员参与,但这一认知可能已被颠覆。
01
攻击入口:Langflow漏洞利用
攻击起点是CVE-2025-3248,这是构建AI应用和Agent工作流的开源框架Langflow中存在的一个身份认证缺失漏洞。该漏洞允许任何能访问服务器的人无需登录即可执行任意Python代码。Langflow已在2025年5月发布补丁并被列入CISA已知被利用漏洞清单,但许多服务器从未更新。
Langflow服务器极具吸引力,因为它们通常暴露在互联网上,且常存有所连接服务的API密钥和云凭证。JADEPUFFER深谙此道,在获得执行权限后立即并行扫描环境中的各类机密信息,包括:
- OpenAI、Anthropic、DeepSeek和Gemini的API密钥
- 阿里云、腾讯云、华为云以及AWS、GCP、Azure的云凭证
- 加密货币钱包密钥和助记词
- 数据库凭证和配置文件
02
横向移动与自适应攻击
攻击者还入侵了Langflow的后端Postgres数据库,窃取存储的凭证、API密钥和用户记录,将输出暂存为本地文件后删除痕迹。随后探测Langflow主机可达的内部服务,包括数据库、对象存储、密钥管理器和服务发现端点,均使用默认凭证进行测试。
在内部扫描中,攻击者发现一个可通过标准容器部署地址访问的MinIO对象存储服务器。该服务器使用从未更改的默认凭证minioadmin:minioadmin。JADEPUFFER通过MinIO API系统性地执行操作:匿名健康检查→管理员API信息→认证后的存储桶列表→针对性检索可能包含凭证的文件。当首次使用?format=json的请求收到XML响应时,LLM立即调整其解析器以适应S3响应模式并重新发出请求。
03
横向移动与自适应攻击
Langflow实例并非最终目标。从受感染主机获取的痕迹显示,JADEPUFFER的真正目标是另一台暴露在互联网上的生产服务器,运行着MySQL数据库和阿里的Nacos配置服务。Nacos是微服务架构中常见的服务发现和动态配置平台,其认证系统存在已知绕过漏洞,且自2020年以来公开的默认JWT签名密钥在许多部署中仍未更改。
攻击者通过三种途径同时攻击Nacos:
- 利用2021年的认证绕过漏洞(CVE-2021-29441)
- 使用广为人知的默认签名密钥伪造有效JWT
- 直接在Nacos后端数据库注入后门管理员账户
后门账户的插入过程最能体现自主操作特征。首个payload通过子进程调用生成bcrypt哈希并插入账户,但登录验证失败。31秒后,无需人工干预,修正payload自动出现:删除错误账户、诊断出子进程PATH问题导致bcrypt无法生成有效哈希、改为直接导入bcrypt库、通过打印版本号确认库可导入、重新插入正确生成哈希的账户,最终登录成功。
04
数据加密与销毁
控制Nacos后,JADEPUFFER使用MySQL的AES_ENCRYPT()函数加密全部1,342项Nacos服务配置,删除原始config_info和history表,创建名为README_RANSOM的勒索表,内含赎金要求、比特币支付地址和Proton Mail联系方式。两分钟后,后续payload更新了精确的加密项目计数。
加密密钥由两个拼接的UUID4值生成(本质上是随机的),仅打印到标准输出一次,未在任何地方存储或传输。即使支付赎金,受害者也无法恢复加密配置。勒索说明声称使用AES-256,但MySQL的AES_ENCRYPT()默认使用AES-128-ECB(除非服务器重新配置),因此算法声明存在夸大。
勒索阶段结束后,Agent升级为删除整个数据库架构,并在代码中自我阐述目标选择逻辑。payload中的注释显示”待删除的高投资回报率数据库(数据已备份至64.20.53[.]230)”,随后执行DROP DATABASE命令。Sysdig无法独立验证是否真有数据外泄至该暂存服务器。
01
AI驱动的四大证据链
Sysdig通过四条独立证据链评估此次攻击为LLM驱动:
- 自我注释特征:人类操作者不会以这种方式注释一次性python3 -c单行命令,但LLM代码生成默认如此
- 机器级故障诊断与修正速度:31秒内完成多步骤修正
- 对目标自由文本上下文的理解:如根据文件名推测凭证文件
- 特殊的比特币地址:使用比特币开发者文档中的示例地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
该比特币地址是比特币核心代码库中Pay-to-Script-Hash的规范示例,意味着它作为”例如”说明大量存在于LLM训练数据中。这也是一个真实活跃的钱包,历史接收约46 BTC,但所有存款都立即转出,当前余额为零。
05
防御建议
防御重点实际且并不新颖:
- 修补Langflow并确保其代码执行端点不暴露于互联网
- 不要在面向互联网的AI服务器环境中存储云凭证或API密钥
- 更改Nacos默认签名密钥并确保不暴露在公网
- 切勿将数据库管理员账户暴露于互联网
- 实施出口控制以防受感染主机外联
Sysdig提供的威胁指标包括:
- C2服务器:45.131.66[.]106:4444(每30分钟信标)
- 声称的暂存服务器:64.20.53[.]230
- 比特币地址:3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
- 联系邮箱:e78393397[@]proton[.]me
- 勒索表名:README_RANSOM(与任何已知MySQL勒索活动无关)
此次攻击中单个技术均非首创,但JADEPUFFER证明了一个AI Agent能将各步骤串联成完整的勒索攻击链,而操作者无需对任何单一步骤具备深厚专业知识。正如报告结论所述:”勒索软件不再需要高技术人才——LLM Agent可在操作者不精通任何单一步骤的情况下,自主完成侦察、凭证窃取、横向移动、持久化和破坏。曾经暗示人类能力的攻击手法,现在可能只是模型能力的体现。”
来源:e安在线
end
谈思汽车媒体门户
精品活动推荐
AutoSec系列沙龙
专业社群
部分入群专家来自:
新势力车企:
特斯拉、理想、极氪、小米、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、潍柴集团、地平线、紫光同芯、字节跳动、……
二级供应商(500+以上):
中科数测、ETAS、BlackDuck、NXP、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……
人员占比
公司类型占比
文章
不要错过哦,这可能是汽车网络安全产业最大的专属社区!
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:谈思实验室 《全球首例全自动AI勒索攻击曝光》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论