https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

首起AI代理全自動攻擊?JadePuffer 勒索軟體凸顯「代理人式威脅行為者」時代到

2026 / 07 / 07
編輯部
首起AI代理全自動攻擊?JadePuffer 勒索軟體凸顯「代理人式威脅行為者」時代到
雲端資安公司 Sysdig 記錄到一起勒索軟體攻擊事件;研究人員認為,這可能是首例完全由大型語言模型(LLM)代理程式執行的攻擊,而該攻擊組織被命名為 JadePuffer

攻擊全程由 AI 代理程式自主執行

根據 Sysdig 報告,JadePuffer 透過自主 AI 代理程式完成完整攻擊鏈,涵蓋目標偵察、憑證竊取、橫向移動、建立持久化、權限提升與資料加密。研究人員指出,該代理程式在入侵過程中能適應失敗情況,其行為模式與人類操作者面對障礙時的處置方式相近。在一個觀察到的序列中,代理程式從登入失敗到提出可行修正方案僅花 31 秒

攻擊鏈詳情

JadePuffer 透過 CVE-2025-3248 取得初始存取權限,這是 Langflow 的未驗證遠端程式碼執行漏洞。Langflow 是一款用於建構 LLM 應用程式的流行開源框架;該漏洞已於 2025 年 4 月 1 日修補,美國 CISA 亦在同年 5 月初將其標記為已遭利用。

取得程式碼執行能力後,AI 代理程式傾印 Langflow 的 PostgreSQL 資料庫、收集主機資訊、搜尋環境變數與敏感檔案、擷取憑證,並列舉 MinIO 物件儲存庫。Sysdig 特別指出其適應性:當某個 API 請求回傳 XML 而非 JSON 時,後續酬載會自動調整解析邏輯。

在持久化方面,JadePuffer 在 Langflow 主機上安裝排程工作(cron job),設定每 30 分鐘向攻擊者的基礎架構發送信標(beacon)

攻擊者隨後從 Langflow 執行個體轉向一台正式 MySQL 伺服器(執行阿里巴巴 Nacos,命名與設定服務),並對 Nacos 投放多項攻擊酬載,包括利用 CVE-2021-29441(可建立惡意管理員帳號的身分驗證繞過漏洞)。代理程式也嘗試探測容器逃逸(container escape)手法,並部署勒索軟體酬載。

加密與勒索

JadePuffer 使用 MySQL 內建的 AES_ENCRYPT() 函式,對 1,342 個 Nacos 服務設定項目進行加密;同時刪除原始設定資訊與歷史資料表,並建立一個包含勒索要求、比特幣支付地址與 Proton Mail 聯絡方式的勒索資訊表(README_RANSOM)。

勒索訊息宣稱資料以 AES-256 演算法加密,但研究人員認為此說法可能有所誇大,判斷實際使用的較可能是強度較弱的 AES-128-ECB。此外,加密金鑰雖為隨機生成,但未儲存或傳送至攻擊者,意味著攻擊者本身可能也無法解密資料。勒索訊息中的比特幣地址則是廣泛出現於公開文件的範例地址;研究人員推測,這可能是 LLM 從訓練資料中複製而來。

研究人員指出多項顯示 AI 正在掌控攻擊的跡象:生成程式碼含有詳細的自然語言註解,用於說明操作推理過程;攻擊迭代速度快,且能針對具體錯誤調整策略,而非僅反覆重試

防禦意涵

Sysdig 在報告結論指出,JadePuffer 案例顯示「代理人式威脅行為者」(Agentic Threat Actor,ATA)時代已經到來,發動具破壞性網路攻擊所需的技術門檻將大幅降低。另一方面,由於 AI 代理程式的運作方式,LLM 生成的酬載也為資安解決方案提供新的偵測切入點。

本文轉載自 BleepingComputer。