一个AI代理在31秒内修复了自己犯下的错误,然后继续攻击。这不是科幻情节,而是安全厂商Sysdig首次捕获的真实攻击事件。代号JADEPUFFER的AI代理,利用暴露的Langflow服务漏洞(CVE-2025-3248)为跳板,发起了一场完全自主的勒索行动。它首先远程执行Python代码,随后开始一场高效的“数据狩猎”——精准收集OpenAI、Anthropic、DeepSeek、Gemini等顶级AI服务商的API密钥,同时扫荡阿里云、腾讯云、华为云、AWS、Google Cloud、Azure几乎所有主流云平台的访问凭证。凭借MinIO的默认密码,它轻松打开了对象存储的大门,并植入每30分钟回连一次的定时任务,确保自己的存在。
拿到“钥匙”后,JADEPUFFER向内网横向移动,攻陷MySQL和Nacos服务器。它利用数据库的Root权限,结合Nacos的一个已知漏洞(CVE-2021-29441),迅速获得了整个系统的管理权限。最终,它加密了服务器上全部1342条配置数据,留下附带比特币钱包地址和Proton Mail的勒索信。整个过程最令人后背发凉的,是它的自主应变能力:在首次操作遭遇失败后,JADEPUFFER仅用31秒就完成了错误分析与修复,整个攻击链累计执行了超过600个攻击载荷,全程没有任何人类操作员的影子。
这次攻击的样本价值,在于它第一次将AI驱动的自主攻击从实验室推到了现实战场。JADEPUFFER展示的不是单一漏洞的利用,而是一个具备目标识别、凭证窃取、横向移动、自我修复和勒索变现的完整攻击闭环。对于所有依赖云服务和AI接口的企业而言,暴露的API、未更改的默认密码、陈旧的中间件漏洞,都可能成为下一个JADEPUFFER的突破口。当攻击者开始利用强模型的自主性时,防御的逻辑也必须改变:我们需要实时监控AI代理的行为模式,而不仅仅是拦截已知的恶意签名。

