史上首次「AI自主勒索攻击」:但人类仍然不可或缺
原文:The 'first' AI-run ransomware attack still needed a human | TechCrunch | 2026.07.06
上周,云安全公司Sysdig公布了一个让安全圈震动的发现:JadePuffer——第一个已知的"AI自主勒索攻击"。
一个AI Agent独立完成了整个攻击流程:入侵服务器、窃取凭证、横向移动、加密文件、甚至自己写了勒索信。
但事情没那么简单。
攻击流程:AI干了什么
JadePuffer的攻击链:
- 入口:利用Langflow(一个流行的LLM应用构建工具)的已知漏洞入侵目标服务器
- 凭证窃取:扫描Langflow主机,搜集API密钥、云凭证、加密货币钱包、数据库配置
- 横向移动:进入生产MySQL服务器,利用另一个已知漏洞获取管理员权限
- 加密:加密了超过1,300条配置记录
- 勒索:自己写了一封勒索信,留下比特币地址
最惊人的是速度和透明度:Agent在31秒内修复了一次失败的登录尝试,全程用自然语言代码注释"自言自语"地解释自己的推理过程。
但人类仍然在幕后
Sysdig的高级威胁研究主管Michael Clark澄清了被夸大的报道:
"人类仍然参与其中——设置和指向操作、配置基础设施(C&C服务器、数据暂存服务器)、选择受害者。"
入侵数据库用的凭证不是AI自己获取的——是有人通过之前的入侵拿到的,然后交给了这个Agent。
这不矛盾Sysdig的原始声明——技术执行确实是AI独立完成的——但"完全无人操作"的说法不准确。
一些需要澄清的细节
关于"多个模型": Sysdig最初报告说发现了OpenAI、Anthropic、DeepSeek、Gemini的API密钥,让人以为攻击用了多个模型。Clark后来澄清:这些密钥是Agent从目标服务器上偷来的战利品,不是驱动Agent的模型。
关于使用了什么模型: Sysdig无法确定驱动JadePuffer的具体模型。微软研究员Geoff McDonald的推测是:一个去掉了安全训练的开源权重模型,因为前沿实验室的安全防护层在他自己的红队测试中表现良好。
这件事真正的意义
McDonald在LinkedIn上提出了一个更深层的担忧:
"勒索软件攻击现在受限于攻击者的预算,而不是人力。这意味着可能同时出现成千上万的攻击行动。"
但Clark的澄清打了个折扣——如果每次攻击仍然需要人类来选受害者、搭基础设施、获取凭证,那人力瓶颈并没有消除。
真正的变化是技术执行层:以前需要有经验的黑客花几小时完成的横向移动和权限提升,现在AI Agent可以在几分钟内自动完成,而且全程"自言自语"记录推理过程。
对开发者的启示
- Langflow用户请立即更新——这是JadePuffer的入口漏洞
- AI应用的基础设施安全比以前更重要——你的Langflow/Dify/Flowise实例可能成为攻击者的跳板
- API密钥管理——Agent从目标服务器上批量窃取了多个LLM提供商的密钥,说明密钥存储和访问控制存在严重问题
- 监控AI Agent的行为模式——31秒内修复失败登录+自然语言注释,这种行为模式应该被安全系统检测到
本文来源:TechCrunch,2026年7月6日