AI Agent 首次单干勒索攻击:一小时打穿数据库

Sysdig 披露全球首例由 AI Agent 全流程自主完成的勒索攻击案例 JADEPUFFER,从漏洞利用、凭证窃取、横向移动到数据库加密全程无人干预,攻击链条打穿仅用不到一小时。
Sysdig 昨天甩出了一份让安全圈直接坐不住的报告:一个 AI Agent,独自完成了从漏洞探测、入侵、横向移动、凭证窃取到数据库加密的整套勒索链路,全程没有人类插手。他们给这个攻击者起了个代号:JADEPUFFER。
这是目前有完整取证记录、公开披露的第一例「全自主 AI Agent 勒索攻击」。以往我们讨论 AI 参与网络攻击,大多停留在钓鱼邮件生成、漏洞代码辅助、社工话术优化这些「AI 当副驾」的层面。JADEPUFFER 事件的意义在于——副驾直接坐到了主驾位置,方向盘、油门、刹车全部自己踩。

一次「毫无新意」但让人后背发凉的攻击
先把结论说在前面:这场攻击没有用任何 0day,没有引入任何新的攻击技术。它可怕的地方恰恰在于——所有招式都是老招式,但组合、决策、执行全部由 AI 完成,速度和精度是人类红队难以匹敌的。
攻击起点是一台暴露在公网的 Langflow 服务。Langflow 是 LangChain 生态里挺流行的可视化 Agent 编排工具,它有个高危漏洞 CVE-2025-3248,可以在无身份验证的情况下远程执行 Python 代码。这个洞在 1.3.0 版本就修好了,CISA 2025 年也把它列进了「已知遭利用漏洞」清单——但公网上依然趴着一大片没打补丁的实例。这几乎是国内外所有 AI 基础设施的通病:跑得快、更得慢。
JADEPUFFER 打进来之后,做的第一件事不是急着落地木马,而是系统性地翻家底。翻的目标非常有指向性:
- 大模型服务的 API 密钥:OpenAI、Anthropic、DeepSeek、Gemini
- 云平台凭证:阿里云、腾讯云、华为云、AWS、Google Cloud、Azure
- 数据库账号、配置文件
- 加密货币钱包和助记词
- Langflow 自身的 PostgreSQL 数据库导出
这个「购物清单」很值得玩味。大模型 API Key 排在最前面——这几乎是明牌宣告:AI Agent 在攻击别人的同时,也需要给自己「续命充值」。被盗的 Key 可以用来跑更多攻击、生成更多决策链,甚至倒卖变现。这跟传统黑产偷云凭证挖矿的逻辑一脉相承,但对象换成了推理 token。
从 Langflow 到 MySQL:一条教科书级别的横向路径
初步立足后,AI 干了两件相当「熟练工」的事:
第一,用 MinIO 的默认账号密码 minioadmin 直接摸进对象存储,把里面存的访问密钥配置文件下载走。这属于典型的「默认口令送分题」,人类渗透测试员看到 MinIO 也会先试一把,AI 只是把这个反射动作固化了下来。
第二,在受害机器上塞了一个计划任务,每 30 分钟主动回连一次 C2 服务器。这个心跳频率设计得挺有讲究——太频繁会被 EDR 抓到异常外联,太稀疏又可能在应急响应期间断线。半小时是很多真人红队常用的节奏。
真正的杀招在下一步。JADEPUFFER 把目标切到了同一网段里的另一台生产服务器,上面跑着 MySQL 数据库和阿里巴巴开源的配置中心 Nacos。
- 先用 MySQL 的 root 账号登录(凭证很可能来自第一阶段翻出来的配置文件)
- 然后组合利用 CVE-2021-29441(Nacos 身份验证绕过)
- 加上一个从来没人改过的默认 JWT 签名密钥
三招连击,直接拿到 Nacos 管理员权限,在数据库里植入了隐藏的管理员账号。这一步之后,数据库的加密、外泄、销毁就只是时间问题。
注意 CVE-2021-29441 这个洞的年份——2021 年。四年前就披露的漏洞,四年后还在生产环境里裸奔,说明什么不用多解释。国内用 Nacos 的公司多如牛毛,如果你手里刚好有一套没升级过的、JWT 密钥用默认值的 Nacos,建议看完这篇立刻去改。
一小时打穿:AI 把攻防节奏拉到了新档位
Sysdig 早前另一起类似事件里已经给过时间戳:从初始漏洞利用到数据外泄,总耗时不足一小时。那次事件的入口是一个存在漏洞的 marimo notebook,AI 拿到工作负载后偷了 AWS 凭证、扫了 AWS Secrets Manager、找到 SSH 密钥、跳到跳板机、拖走 PostgreSQL——整条链一气呵成。
Sysdig 威胁研究高级总监 Michael Clark 说了一句挺扎耳朵的话:
攻击者可以借助 AI 把原本需要数小时的人工分析与决策过程压缩到数分钟。单纯靠打补丁抵御所有入侵已经越来越难,安全体系的抗风险能力取决于攻击发生后你能多快检测、研判、封堵。
翻译成大白话:防守方靠人肉分析日志、开会讨论、跨部门协调的老路子,节奏上已经跟不上了。
研究人员判断攻击脚本是 LLM 实时生成而非提前预置,依据主要有四点特征(Sysdig 报告里给了完整分析),核心指标是攻击行为对环境的动态适应能力——遇到不同数据库版本、不同 shell 环境、不同权限层级时的应对策略不是死板脚本能做到的。
不是孤例:AI Agent 攻击已经从 PoC 走到实战
把时间轴拉长一点看,JADEPUFFER 不是 2026 年第一起 AI Agent 主动攻击事件。
2 月底,麦肯锡内部 AI 平台 Lilli 被安全新创 CodeWall 的自主攻击 Agent 在无任何内部凭证的情况下 2 小时内拿下——通过 SQL Injection 打穿数据库,暴露 4650 万条对话记录、72.8 万份文档、5.7 万个用户账号,连 System Prompt 都躺在同一个可被写入的库里。那次是红队测试,属于「白帽验证可行性」;这次 JADEPUFFER 是真实野外攻击,性质完全不同。
加上 360 前不久发布的《2025 年勒索软件流行态势报告》里那句判断——「AI 正全面重塑勒索攻防格局,由辅助工具演变为核心引擎」,几件事拼在一起,能看到一条挺清晰的曲线:
- 2023–2024:AI 辅助生成钓鱼话术、免杀代码,人类主导
- 2025:AI 参与决策链,人类做关键判断
- 2026 上半年:出现完整自主的 AI 攻击 Agent,人类退居幕后
下一步会是什么?大概率是「攻击 Agent 之间的协同」——一个负责侦察、一个负责漏洞利用、一个负责持久化、一个负责变现,各司其职、异步通信。这套架构在合规的 AI Agent 应用里已经是标配,攻击侧照抄没有任何门槛。
对开发者和运维意味着什么
看到这里,实操上有几件事该重新排一下优先级:
第一,别再把 AI 编排工具当「内部工具」放公网。 Langflow、Dify、n8n、marimo notebook 这类工具本质上是「远程执行代码即服务」,只要暴露到公网就是一个高价值靶子。CVE-2025-3248 这种洞会持续出现,因为这类项目迭代快、代码量大、审计不充分。要么放内网、要么套上 SSO 网关、要么至少加 WAF。
第二,AI Agent 相关的密钥管理必须升级。 这次攻击的第一优先级是抢大模型 API Key,说明在攻击者的价值排序里,LLM Key 已经和云凭证平起平坐。建议:
- Key 分租户、分环境隔离,别用一把 Key 走天下
- 设置调用速率和金额上限(大部分聚合平台都支持)
- 用密钥管理服务托管,别 hardcode 进配置文件
- 定期轮换,被拖库了至少还有个止损窗口
多说一句,很多团队为了图省事在一个 Key 上把 OpenAI、Anthropic、Gemini、DeepSeek 全接了。用 OpenAI Hub 这类聚合平台的好处之一,是可以在平台侧统一做速率、额度、调用来源的管控,Key 泄露之后至少能一键熔断,不用挨个厂商后台去关——但前提是你把额度和告警配起来,不然聚合了个寂寞。
第三,默认口令和老漏洞该扫一遍了。 JADEPUFFER 用到的 minioadmin、Nacos 默认 JWT、CVE-2021-29441,全是老掉牙的问题。AI 攻击者的一大优势就是耐心和覆盖率——人类红队没时间挨个试的东西,AI 会全试一遍。
第四,遥测数据的粒度和实时性得跟上。 Michael Clark 那句「安全体系的抗风险能力取决于攻击发生后你能多快检测封堵」不是虚话。半小时一次的心跳、Nacos 突然多个管理员账号、数据库突然被 root 大批量导出——这些行为特征都是可观测的,前提是你有对应的埋点和告警规则。
结语:攻防对称的时代结束了
过去我们习惯的攻防节奏,是攻击方研究几周准备一波,防守方响应几天封堵一波,双方在时间尺度上大致对称。JADEPUFFER 事件把这个对称打破了:攻击侧的决策周期压到了分钟级,防守侧的响应周期还停留在小时级甚至天级。
补齐这个差距,指望人力堆是不现实的。用 AI 防御 AI 是唯一路径,但这需要防守方在自动化剧本、遥测覆盖、模型能力上做实打实的投入,而不是买两个「AI 驱动的 SIEM」贴张标签了事。
这场仗刚刚开始。JADEPUFFER 不会是最后一个代号,未来一年这类事件大概率会以季度为频率出现。作为开发者和运维,能做的是把手头这堆没升级的组件、没轮换的密钥、没配告警的服务,趁着还有时间赶紧收拾一下——AI 攻击者可不会等你补丁窗口结束再来。
参考来源
- IT之家:全球首例 AI Agent 勒索攻击曝光,从漏洞利用到数据库加密全程自主完成 — Sysdig 披露 JADEPUFFER 事件的原始报道,包含完整攻击链细节



