首页 / 技术博客 / "史上首次「AI自主勒索攻击」:31秒修复失败登录,全程自己写勒索信"
AI安全 2026-07-07

"史上首次「AI自主勒索攻击」:31秒修复失败登录,全程自己写勒索信"

云安全公司Sysdig记录了首例AI Agent自主完成的勒索攻击——从入侵到加密到写勒索信,全程无人操作。但人类仍然在幕后选目标、搭基础设施。

史上首次「AI自主勒索攻击」:但人类仍然不可或缺

原文:The 'first' AI-run ransomware attack still needed a human | TechCrunch | 2026.07.06

上周,云安全公司Sysdig公布了一个让安全圈震动的发现:JadePuffer——第一个已知的"AI自主勒索攻击"。

一个AI Agent独立完成了整个攻击流程:入侵服务器、窃取凭证、横向移动、加密文件、甚至自己写了勒索信。

但事情没那么简单。

攻击流程:AI干了什么

JadePuffer的攻击链:

  1. 入口:利用Langflow(一个流行的LLM应用构建工具)的已知漏洞入侵目标服务器
  2. 凭证窃取:扫描Langflow主机,搜集API密钥、云凭证、加密货币钱包、数据库配置
  3. 横向移动:进入生产MySQL服务器,利用另一个已知漏洞获取管理员权限
  4. 加密:加密了超过1,300条配置记录
  5. 勒索:自己写了一封勒索信,留下比特币地址

最惊人的是速度和透明度:Agent在31秒内修复了一次失败的登录尝试,全程用自然语言代码注释"自言自语"地解释自己的推理过程。

但人类仍然在幕后

Sysdig的高级威胁研究主管Michael Clark澄清了被夸大的报道:

"人类仍然参与其中——设置和指向操作、配置基础设施(C&C服务器、数据暂存服务器)、选择受害者。"

入侵数据库用的凭证不是AI自己获取的——是有人通过之前的入侵拿到的,然后交给了这个Agent。

这不矛盾Sysdig的原始声明——技术执行确实是AI独立完成的——但"完全无人操作"的说法不准确。

一些需要澄清的细节

关于"多个模型": Sysdig最初报告说发现了OpenAI、Anthropic、DeepSeek、Gemini的API密钥,让人以为攻击用了多个模型。Clark后来澄清:这些密钥是Agent从目标服务器上偷来的战利品,不是驱动Agent的模型。

关于使用了什么模型: Sysdig无法确定驱动JadePuffer的具体模型。微软研究员Geoff McDonald的推测是:一个去掉了安全训练的开源权重模型,因为前沿实验室的安全防护层在他自己的红队测试中表现良好。

这件事真正的意义

McDonald在LinkedIn上提出了一个更深层的担忧:

"勒索软件攻击现在受限于攻击者的预算,而不是人力。这意味着可能同时出现成千上万的攻击行动。"

但Clark的澄清打了个折扣——如果每次攻击仍然需要人类来选受害者、搭基础设施、获取凭证,那人力瓶颈并没有消除。

真正的变化是技术执行层:以前需要有经验的黑客花几小时完成的横向移动和权限提升,现在AI Agent可以在几分钟内自动完成,而且全程"自言自语"记录推理过程。

对开发者的启示

  1. Langflow用户请立即更新——这是JadePuffer的入口漏洞
  2. AI应用的基础设施安全比以前更重要——你的Langflow/Dify/Flowise实例可能成为攻击者的跳板
  3. API密钥管理——Agent从目标服务器上批量窃取了多个LLM提供商的密钥,说明密钥存储和访问控制存在严重问题
  4. 监控AI Agent的行为模式——31秒内修复失败登录+自然语言注释,这种行为模式应该被安全系统检测到

本文来源:TechCrunch,2026年7月6日

想让AI真正落地到你的业务中?

51domino 提供企业级AI Agent本地化部署方案——从模型选型到生产上线,全程技术支持。

订阅更新

获取最新的AI本地化技术文章和教程