全球首例全自动AI勒索攻击曝光

📅 2026/7/7 6:59:41
全球首例全自动AI勒索攻击曝光
Sysdig威胁研究团队记录了他们评估为首次由大语言模型LLM端到端驱动的勒索软件攻击行动。这个被Sysdig命名为JADEPUFFER的操作者在无人操控的情况下入侵服务器、窃取凭证、转移到独立的生产目标、加密数据库并销毁数据。勒索软件历来需要技术娴熟的人员参与但这一认知可能已被颠覆。攻击入口Langflow漏洞利用攻击起点是CVE-2025-3248这是构建AI应用和Agent工作流的开源框架Langflow中存在的一个身份认证缺失漏洞。该漏洞允许任何能访问服务器的人无需登录即可执行任意Python代码。Langflow已在2025年5月发布补丁并被列入CISA已知被利用漏洞清单但许多服务器从未更新。Langflow服务器极具吸引力因为它们通常暴露在互联网上且常存有所连接服务的API密钥和云凭证。JADEPUFFER深谙此道在获得执行权限后立即并行扫描环境中的各类机密信息包括OpenAI、Anthropic、DeepSeek和Gemini的API密钥阿里云、腾讯云、华为云以及AWS、GCP、Azure的云凭证加密货币钱包密钥和助记词数据库凭证和配置文件横向移动与自适应攻击攻击者还入侵了Langflow的后端Postgres数据库窃取存储的凭证、API密钥和用户记录将输出暂存为本地文件后删除痕迹。随后探测Langflow主机可达的内部服务包括数据库、对象存储、密钥管理器和服务发现端点均使用默认凭证进行测试。在内部扫描中攻击者发现一个可通过标准容器部署地址访问的MinIO对象存储服务器。该服务器使用从未更改的默认凭证minioadmin:minioadmin。JADEPUFFER通过MinIO API系统性地执行操作匿名健康检查→管理员API信息→认证后的存储桶列表→针对性检索可能包含凭证的文件。当首次使用?formatjson的请求收到XML响应时LLM立即调整其解析器以适应S3响应模式并重新发出请求。最终目标生产数据库加密Langflow实例并非最终目标。从受感染主机获取的痕迹显示JADEPUFFER的真正目标是另一台暴露在互联网上的生产服务器运行着MySQL数据库和阿里的Nacos配置服务。Nacos是微服务架构中常见的服务发现和动态配置平台其认证系统存在已知绕过漏洞且自2020年以来公开的默认JWT签名密钥在许多部署中仍未更改。攻击者通过三种途径同时攻击Nacos利用2021年的认证绕过漏洞CVE-2021-29441使用广为人知的默认签名密钥伪造有效JWT直接在Nacos后端数据库注入后门管理员账户后门账户的插入过程最能体现自主操作特征。首个payload通过子进程调用生成bcrypt哈希并插入账户但登录验证失败。31秒后无需人工干预修正payload自动出现删除错误账户、诊断出子进程PATH问题导致bcrypt无法生成有效哈希、改为直接导入bcrypt库、通过打印版本号确认库可导入、重新插入正确生成哈希的账户最终登录成功。数据加密与销毁控制Nacos后JADEPUFFER使用MySQL的AES_ENCRYPT()函数加密全部1,342项Nacos服务配置删除原始config_info和history表创建名为README_RANSOM的勒索表内含赎金要求、比特币支付地址和Proton Mail联系方式。两分钟后后续payload更新了精确的加密项目计数。加密密钥由两个拼接的UUID4值生成本质上是随机的仅打印到标准输出一次未在任何地方存储或传输。即使支付赎金受害者也无法恢复加密配置。勒索说明声称使用AES-256但MySQL的AES_ENCRYPT()默认使用AES-128-ECB除非服务器重新配置因此算法声明存在夸大。勒索阶段结束后Agent升级为删除整个数据库架构并在代码中自我阐述目标选择逻辑。payload中的注释显示待删除的高投资回报率数据库数据已备份至64.20.53[.]230随后执行DROP DATABASE命令。Sysdig无法独立验证是否真有数据外泄至该暂存服务器。AI驱动的四大证据链Sysdig通过四条独立证据链评估此次攻击为LLM驱动自我注释特征人类操作者不会以这种方式注释一次性python3 -c单行命令但LLM代码生成默认如此机器级故障诊断与修正速度31秒内完成多步骤修正对目标自由文本上下文的理解如根据文件名推测凭证文件特殊的比特币地址使用比特币开发者文档中的示例地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy该比特币地址是比特币核心代码库中Pay-to-Script-Hash的规范示例意味着它作为例如说明大量存在于LLM训练数据中。这也是一个真实活跃的钱包历史接收约46 BTC但所有存款都立即转出当前余额为零。防御建议防御重点实际且并不新颖修补Langflow并确保其代码执行端点不暴露于互联网不要在面向互联网的AI服务器环境中存储云凭证或API密钥更改Nacos默认签名密钥并确保不暴露在公网切勿将数据库管理员账户暴露于互联网实施出口控制以防受感染主机外联Sysdig提供的威胁指标包括C2服务器45.131.66[.]106:4444每30分钟信标声称的暂存服务器64.20.53[.]230比特币地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy联系邮箱e78393397[]proton[.]me勒索表名README_RANSOM与任何已知MySQL勒索活动无关此次攻击中单个技术均非首创但JADEPUFFER证明了一个AI Agent能将各步骤串联成完整的勒索攻击链而操作者无需对任何单一步骤具备深厚专业知识。正如报告结论所述勒索软件不再需要高技术人才——LLM Agent可在操作者不精通任何单一步骤的情况下自主完成侦察、凭证窃取、横向移动、持久化和破坏。曾经暗示人类能力的攻击手法现在可能只是模型能力的体现。