全球首例全自动AI勒索攻击曝光
2026/7/7 6:59:33 网站建设 项目流程

Sysdig威胁研究团队记录了他们评估为首次由大语言模型(LLM)端到端驱动的勒索软件攻击行动。这个被Sysdig命名为JADEPUFFER的操作者,在无人操控的情况下入侵服务器、窃取凭证、转移到独立的生产目标、加密数据库并销毁数据。勒索软件历来需要技术娴熟的人员参与,但这一认知可能已被颠覆。

攻击入口:Langflow漏洞利用

攻击起点是CVE-2025-3248,这是构建AI应用和Agent工作流的开源框架Langflow中存在的一个身份认证缺失漏洞。该漏洞允许任何能访问服务器的人无需登录即可执行任意Python代码。Langflow已在2025年5月发布补丁并被列入CISA已知被利用漏洞清单,但许多服务器从未更新。

Langflow服务器极具吸引力,因为它们通常暴露在互联网上,且常存有所连接服务的API密钥和云凭证。JADEPUFFER深谙此道,在获得执行权限后立即并行扫描环境中的各类机密信息,包括:

  • OpenAI、Anthropic、DeepSeek和Gemini的API密钥

  • 阿里云、腾讯云、华为云以及AWS、GCP、Azure的云凭证

  • 加密货币钱包密钥和助记词

  • 数据库凭证和配置文件

横向移动与自适应攻击

攻击者还入侵了Langflow的后端Postgres数据库,窃取存储的凭证、API密钥和用户记录,将输出暂存为本地文件后删除痕迹。随后探测Langflow主机可达的内部服务,包括数据库、对象存储、密钥管理器和服务发现端点,均使用默认凭证进行测试。

在内部扫描中,攻击者发现一个可通过标准容器部署地址访问的MinIO对象存储服务器。该服务器使用从未更改的默认凭证minioadmin:minioadmin。JADEPUFFER通过MinIO API系统性地执行操作:匿名健康检查→管理员API信息→认证后的存储桶列表→针对性检索可能包含凭证的文件。当首次使用?format=json的请求收到XML响应时,LLM立即调整其解析器以适应S3响应模式并重新发出请求。

最终目标:生产数据库加密

Langflow实例并非最终目标。从受感染主机获取的痕迹显示,JADEPUFFER的真正目标是另一台暴露在互联网上的生产服务器,运行着MySQL数据库和阿里的Nacos配置服务。Nacos是微服务架构中常见的服务发现和动态配置平台,其认证系统存在已知绕过漏洞,且自2020年以来公开的默认JWT签名密钥在许多部署中仍未更改。=

攻击者通过三种途径同时攻击Nacos:

  • 利用2021年的认证绕过漏洞(CVE-2021-29441)

  • 使用广为人知的默认签名密钥伪造有效JWT

  • 直接在Nacos后端数据库注入后门管理员账户

后门账户的插入过程最能体现自主操作特征。首个payload通过子进程调用生成bcrypt哈希并插入账户,但登录验证失败。31秒后,无需人工干预,修正payload自动出现:删除错误账户、诊断出子进程PATH问题导致bcrypt无法生成有效哈希、改为直接导入bcrypt库、通过打印版本号确认库可导入、重新插入正确生成哈希的账户,最终登录成功。

数据加密与销毁

控制Nacos后,JADEPUFFER使用MySQL的AES_ENCRYPT()函数加密全部1,342项Nacos服务配置,删除原始config_info和history表,创建名为README_RANSOM的勒索表,内含赎金要求、比特币支付地址和Proton Mail联系方式。两分钟后,后续payload更新了精确的加密项目计数。

加密密钥由两个拼接的UUID4值生成(本质上是随机的),仅打印到标准输出一次,未在任何地方存储或传输。即使支付赎金,受害者也无法恢复加密配置。勒索说明声称使用AES-256,但MySQL的AES_ENCRYPT()默认使用AES-128-ECB(除非服务器重新配置),因此算法声明存在夸大。

勒索阶段结束后,Agent升级为删除整个数据库架构,并在代码中自我阐述目标选择逻辑。payload中的注释显示"待删除的高投资回报率数据库(数据已备份至64.20.53[.]230)",随后执行DROP DATABASE命令。Sysdig无法独立验证是否真有数据外泄至该暂存服务器。

AI驱动的四大证据链

Sysdig通过四条独立证据链评估此次攻击为LLM驱动:

  • 自我注释特征:人类操作者不会以这种方式注释一次性python3 -c单行命令,但LLM代码生成默认如此

  • 机器级故障诊断与修正速度:31秒内完成多步骤修正

  • 对目标自由文本上下文的理解:如根据文件名推测凭证文件

  • 特殊的比特币地址:使用比特币开发者文档中的示例地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

该比特币地址是比特币核心代码库中Pay-to-Script-Hash的规范示例,意味着它作为"例如"说明大量存在于LLM训练数据中。这也是一个真实活跃的钱包,历史接收约46 BTC,但所有存款都立即转出,当前余额为零。

防御建议

防御重点实际且并不新颖:

  • 修补Langflow并确保其代码执行端点不暴露于互联网

  • 不要在面向互联网的AI服务器环境中存储云凭证或API密钥

  • 更改Nacos默认签名密钥并确保不暴露在公网

  • 切勿将数据库管理员账户暴露于互联网

  • 实施出口控制以防受感染主机外联

Sysdig提供的威胁指标包括:

  • C2服务器:45.131.66[.]106:4444(每30分钟信标)

  • 声称的暂存服务器:64.20.53[.]230

  • 比特币地址:3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

  • 联系邮箱:e78393397[@]proton[.]me

  • 勒索表名:README_RANSOM(与任何已知MySQL勒索活动无关)

此次攻击中单个技术均非首创,但JADEPUFFER证明了一个AI Agent能将各步骤串联成完整的勒索攻击链,而操作者无需对任何单一步骤具备深厚专业知识。正如报告结论所述:"勒索软件不再需要高技术人才——LLM Agent可在操作者不精通任何单一步骤的情况下,自主完成侦察、凭证窃取、横向移动、持久化和破坏。曾经暗示人类能力的攻击手法,现在可能只是模型能力的体现。"

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询