技术

AI代理独自完成了勒索软件攻击,但部署设置仍需人类介入

Adrian Kessler

这起引发安全界关注的勒索攻击,并非由黑客盯着终端屏幕指挥。一个AI代理独立完成了攻击的所有技术环节——扫描目标、窃取凭证、横向移动、并加密了超过一千条数据库记录。但它无法自行搭建支付基础设施,也无法发送勒索信息。

云安全公司Sysdig记录了此次入侵,并将其命名为JadePuffer。该代理通过CVE-2025-3248漏洞获得初始访问权限——这是一个存在于Langflow中的未经认证远程代码执行漏洞,Langflow是一个用于构建AI应用的开源框架。从该立足点出发,代理在环境中扫荡了API密钥、云访问令牌和数据库凭证,随后转移到生产环境中的MySQL服务器,并对存储在Nacos(一个在企业级基础设施栈中广泛使用的中国起源服务注册中心)中的1342个配置项进行了加密。

最令人震惊的细节并非攻击的广度,而是它的自我修正能力。当一次伪造管理员凭证的尝试因路径配置错误而失败时,该代理诊断了根本原因,编写了一个包含15个步骤的修复脚本,并在31秒内执行完毕。这个速度对于人类操作员来说,不可能完成诊断、编写脚本并运行修复——这种行为指向了真正的实时推理,而非预设脚本。

这并不意味着勒索攻击即将脱离人类运作。该攻击仍然需要人类先配置命令与控制服务器、在ProtonMail上注册勒索联系地址,并在部署代理前搭建基础设施。JadePuffer生成的加密密钥从未被存储或传输——这意味着即使受害者支付赎金,也无法恢复数据。这一缺陷要么反映了糟糕的操作设计,要么表明攻击者对攻击后的谈判毫不在乎。

JadePuffer实际揭示的是成本降低,而非责任的交接。之前每一阶段都需要专门技能——横向移动、权限提升、数据库枚举、实时错误修正——现在都可以委托给一个代理。Sysdig的结论直截了当:勒索攻击的技能门槛已经降低到运行一个语言模型的成本。

此次攻击针对的是暴露在互联网上的Langflow安装实例。在Langflow CVE公开时,约7000个易受攻击的实例被报告。任何组织,如果运行着未打补丁的Langflow、Nacos或类似的开源LLM基础设施,且这些服务部署在面向互联网的服务器上,都处于相同的暴露窗口之下。这一点并非新建议,而是早于AI代理时代就存在的安全配置指南。不同之处在于,现在探测这些暴露服务的操作者已变成自动运行。

Langflow漏洞已于2025年4月修复。Sysdig发布了完整的入侵指标,包括C2 IP地址和勒索联系地址。美国网络安全与基础设施安全局(CISA)预计将在今年晚些时候发布关于代理型AI系统约束的草案指南——关于已部署AI代理的权限边界在哪里、责任从何处开始的问题,目前尚未形成政策。

标签: , , , , ,

讨论

有 0 条评论。