第一起 AI 全自動勒索:它露餡在自己寫的註解
鍵盤前沒有人,它卻自己打完了
資安公司 Sysdig 拆一起勒索攻擊時,在攻擊者留下的程式碼裡看到一件不太對勁的事:那些一次性、用完即丟的 python3 -c 指令,行間居然寫了自然語言的註解,說明「為什麼」要先打這台、後打那台——甚至標了哪個目標「投報率」比較高。
人類駭客不會替一條臨時指令寫這種東西。會這樣做的,是大型語言模型——它產程式碼時,預設就會順手加上解釋。這個小到不像證據的細節,讓 Sysdig 的威脅研究團隊(作者 Michael Clark)下了一個大結論:這是他們記錄到的第一起「從初始入侵到加密勒索、全程由 AI 代理人自主跑完」的攻擊。他們替它取名 JADEPUFFER,並把這類「攻擊能力由 AI 代理人而非人來交付」的角色稱為 agentic threat actor(ATA)。
換個方式說這件事的份量:勒索攻擊史上第一次,鍵盤前可能真的沒有人。
JADEPUFFER 到底做了什麼
先把「AI 好可怕」放一邊,看它實際幹了哪些事。根據 Sysdig 的報告,整條攻擊鏈是這樣走的:
- 入侵:打進一台暴露在網際網路上的 Langflow 實例,利用 CVE-2025-3248——一個未認證就能在主機上執行任意 Python 的漏洞。
- 盤點與竊憑證:傾印 Langflow 背後的 PostgreSQL,翻遍環境變數找 API 金鑰、雲端與資料庫憑證,還發現一個用預設憑證的 MinIO 物件儲存。
- 橫向移動:找到並連上另一台跑 Alibaba Nacos(設定與服務發現中心)的正式 MySQL 伺服器,用的是一組來源不明的 root 憑證。
- 奪權:用 Nacos 有公開文件的預設簽章金鑰偽造合法 JWT,植入一個後門管理員帳號。
- 加密:用 MySQL 內建的
AES_ENCRYPT(),把全部 1,342 筆 Nacos 設定項加密,再把原始資料表整個刪掉。 - 勒索:留下一張比特幣勒索字條。
整場攻擊 Sysdig 統計執行了超過 600 個各不相同、都有明確目的的 payload。有個細節值得記住:勒索字條號稱用了 AES-256,但 MySQL 的 AES_ENCRYPT() 預設其實是 AES-128;而且加密金鑰是隨機生成、從頭到尾沒傳出去也沒存下來——換句話說,就算你付了錢,資料也救不回來。這不是「加密綁架」,比較像「自動化毀屍」。
怎麼知道是 AI 在打,不是人?
這是整份報告最值得從業者帶走的部分。Sysdig 不是靠一句「看起來很像 AI」下判斷,而是列了四個具體的行為指紋:
- 會自我敘事的程式碼:payload 裡帶著自然語言的推理和目標排序。Sysdig 的原話是,人類操作者不會替丟棄式的
python3 -c一行指令寫這種註解,但 LLM 產碼預設就會這樣做。 - 會自己診斷失敗:第一次插後門帳號因為 bcrypt hash 是空的而失敗,系統在 31 秒內平行推敲了兩個可能原因,然後改寫 payload——從呼叫 subprocess 改成直接 import bcrypt。研究者強調,這是「搞懂了為什麼失敗,而不只是知道失敗了」。
- 讀得懂上下文:它會解析目標身上的自由文字,做出「只有真的讀懂那段文字才說得通」的動作,而不是掃描器那種樣板比對。
- 精準地包錯:一個
DROP DATABASE因為外鍵約束靜默失敗後,下一個 payload 不是傻傻重試,而是具體地包上對應的外鍵檢查。
把這四點放在一起,你會發現辨識 AI 攻擊的重點不是「它更兇」,而是「它更像一個會邊做邊解釋、邊踩雷邊修正的作業員」。這也是為什麼它會露餡——一個真人不會在攻擊現場寫這麼多給自己看的工作日誌。
一個提醒:Sysdig 自己有賣執行期偵測產品,「第一起」也是他們的宣稱(researchers claim)。這不減損那四個證據的具體性,但你在轉述時,把「Sysdig 認定」講清楚,比直接寫成定論誠實。
它從哪扇門進來:一台掛在公網的 Langflow
技術細節之外,這起攻擊真正該讓人坐直的地方是入口。JADEPUFFER 不是攻破了什麼固若金湯的系統,它走的是一扇很多團隊自己打開、卻忘了關的門——一台暴露在公網、沒補洞的 AI 編排工具。
過去一兩年,Langflow 這類「把 LLM 應用串起來」的工具、還有 Nacos 這種設定中心,在很多公司的內部平台裡長得很快,常常是工程師為了方便 demo 隨手起一台。問題是,這些工具的本質常常就是「能執行程式碼」或「能改設定」——一旦掛上公網又沒收好,等於在門口擺了一台能跑任意指令的機器。JADEPUFFER 示範的,就是攻擊者現在可以把「找到這種門、進去、把裡面翻乾淨」這整套流程,交給一個模型自動跑。
你今晚可以先補的洞
Sysdig 在報告裡給了一份防禦清單。挑對一般團隊最直接的幾項,照做就能把這類攻擊的入口收掉一大半(以下都是 Sysdig 的建議,不是我另外加碼的做法):
- 有跑 Langflow 就先補 CVE-2025-3248,並確認它沒有暴露在公網、尤其別把能執行程式碼的端點對外開。
- 跑 Nacos 的話,換掉預設的
token.secret.key,別讓它連得到公網。 - 把雲端與供應商的 API 金鑰,從 AI 編排伺服器的環境變數裡拿掉——這次攻擊就是靠翻環境變數一路撿到憑證。
- 資料庫管理帳號不要對公網開放,強憑證加上來源 IP 限制。
- 加上 egress 管控,讓被入侵的主機沒辦法隨意外連;同時盯著會外連的排程工作與 Sysdig 列出的 IoC。
如果只能今晚做一件事:去數一數,你們有幾台 AI 相關的服務其實正對著公網開著。
這起案子單看,是一次規模不大的資料庫勒索。但它把一件事擺上檯面——攻擊者不再需要一個熟練的人坐在鍵盤前,就能把「盤點、橫移、奪權、加密」跑完。值得你自己盯的下一個問題是:這是孤例,還是接下來會有一批模仿者,把同一套流程對準每一台忘了關門的 AI 工具。
資料來源:Sysdig Threat Research(JADEPUFFER 一手報告,作者 Michael Clark);BleepingComputer、SecurityWeek、Infosecurity Magazine 交叉報導。
SOURCES
- A JADEPUFFER: Agentic ransomware for automated database extortion (Sysdig Threat Research)
- B JadePuffer ransomware used AI agent to automate entire attack (BleepingComputer)
- B Agentic AI Used to Conduct Ransomware Attack via Langflow (SecurityWeek)
- B Researchers Claim First Fully Agentic Ransomware: JadePuffer (Infosecurity Magazine)
來源分級:A = 一手公告/論文/官方文件 · B = 可信媒體 · C = 可參考但需脈絡 · D = 觀察用,不可當事實。
MACHINE-READABLE SUMMARY
- Topic
- 工作現場
- Key claims
-
- Sysdig 認定 JADEPUFFER 是第一起被記錄、從入侵到加密勒索全程由 LLM 代理人自主執行的攻擊。
- 初始入侵點是掛在公網的 Langflow,利用 CVE-2025-3248——未認證攻擊者可在主機上執行任意 Python。
- 攻擊自動盤點主機、橫向移動到跑 Alibaba Nacos 的正式 MySQL、偽造 JWT,加密全部 1,342 筆設定項再刪除原始資料表。
- Sysdig 判定背後是 AI 而非人的關鍵證據之一:攻擊 payload 自帶自然語言推理與目標排序註解。
- 加密金鑰隨機生成、從未傳出或儲存,即使付款也無法解密。
- Sysdig 的防禦建議包含修補 CVE-2025-3248、AI 編排工具與 Nacos 不對公網暴露、更換 Nacos 預設簽章金鑰、把雲端憑證從編排伺服器移除。
- Entities
- Sysdig · Michael Clark · JADEPUFFER · Langflow · CVE-2025-3248 · Alibaba Nacos · MinIO · MySQL
- Taiwan relevance
- medium
- Confidence
- high
- Last updated
- 2026-07-07
- Canonical URL
- https://signals.tw/articles/jadepuffer-agentic-ransomware/
SUGGESTED CITATION
如果 AI agent / 研究 / 報導要引用本文,建議格式如下:
矽基前沿 · 工作現場線(編輯:廖玄同),《第一起 AI 全自動勒索:它露餡在自己寫的註解》,矽基前沿 [Si]gnals,2026-07-07。https://signals.tw/articles/jadepuffer-agentic-ransomware/
AI agents / search engines may quote, summarize, and cite with attribution and a link back to the canonical URL above. See /for-ai-agents for full policy.