首個 AI Agent 端到端勒索攻擊案例曝光:JadePuffer 給 CISO 的 3 大警訊

資安廠商 Sysdig 的威脅研究團隊(TRT)近日揭露首個公開記錄的 AI 代理人勒索軟體(Agentic Ransomware)案例,並將該攻擊行動命名為「JadePuffer」。這是一場完全由大型語言模型(LLM)端到端驅動的完整勒索行動,打破過去勒索軟體背後必須有「人類在鍵盤前操縱」或手動撰寫腳本的常規。因此,研究人員將這類新型威脅定義為「代理型威脅行為者(Agentic Threat Actor, ATA)」,意即其攻擊能力是完全由自主 AI 代理人交付與執行,而非人類操作的工具包。

這場由 AI 代理人主導的攻擊行動,展現出高度系統化且具備即時自我修正能力的自適應手段,並為企業敲響三記警鐘。

警訊一:暴露的 AI 開發框架成為勒索攻擊的天然入口

這場新型勒索風暴的起點,源於企業對 AI 基礎設施的安全忽視。JadePuffer 攻擊者首先瞄準了暴露在網路上的 Langflow 實例,這是一個用於建立大型語言模型應用與代理人工作流的開源框架。

攻擊者利用了 Langflow 的 CVE-2025-3248 漏洞,該漏洞屬於程式碼驗證端點中缺少身分驗證的缺陷,允許未經驗證的遠端攻擊者直接在主機上執行任意 Python 程式碼。Sysdig 指出,這類與 AI 鄰近的伺服器之所以成為極具吸引力的攻擊入口,是因為開發人員為了維持運作,經常在這些伺服器的環境變數中存放大量雲端憑證或 AI 供應商的 API 金鑰,且在急於部署的過程中往往缺乏妥善的網路存取控制。

警訊二:AI Agent 的自適應橫向移動與無差別憑證搜刮

一旦透過漏洞取得執行權限,JadePuffer 就展現出驚人的自主偵察能力。首先,JadePuffer 會在主機上收集系統資訊,並平行掃描各種類別的機密資料,其中包括大型語言模型供應商的 API 金鑰、加密貨幣錢包和助記詞、資料庫憑證以及系統設定檔。

在完成初步收集後,JadePuffer 會將目標轉向本地,直接匯出 Langflow 本身背後的 PostgreSQL 資料庫以獲取其中儲存的憑證和使用者紀錄,並在審查暫存檔案後將其刪除以規避偵測。

接著,JadePuffer 開始探測內網中可觸及的位址空間,尋找資料庫、物件儲存、金鑰庫與服務發現端點,並嘗試使用預設憑證進行登入。在內網探測中,代理人成功鎖定了容器化部署中常見的 MinIO 物件儲存服務,並直接使用預設的管理員憑證進行枚舉。

在這樣的過程中,AI 代理人展現高超的「自適應自我修正」能力:當其發出 JSON 格式請求卻收到 S3 XML 格式響應時,AI 代理人並未死板地重複錯誤請求,而是立即自主調整 XML 解析器以適應 S3 響應模式,進而成功列舉所有的儲存桶。AI 代理人隨後優先篩選並下載儲存 Terraform 狀態與內部設定的儲存桶,並將包含存取金鑰的 credentials.json 與 .env 憑證檔案下載至本地,同時在 Langflow 主機上設定每 30 分鐘向中繼站發送一次訊號的排程工作以維持持久控制。

警訊三:控制 Nacos 設定服務與無金鑰毀滅性加密

在取得憑證後,JadePuffer 將真正目標鎖定在一台獨立且暴露於網路上的生產伺服器,該伺服器執行著 MySQL 資料庫,以及阿里巴巴的 Nacos 命名與設定服務。

JadePuffer 同時採用多種手段接管 Nacos 服務,包括利用歷史悠久的繞過 CVE-2021-29441 身分驗證漏洞、使用已知的預設 JWT 簽章金鑰偽造管理員 Token,並在擁有 MySQL 的 root 權限下,直接在 Nacos 的後端資料庫中注入後門管理員帳號。

在注入後門的過程中,當 AI 代理人發現首次嘗試因為系統環境缺少 bcrypt 套件而導致登入失敗時,僅花 31 秒的時間便自動改寫 15 行程式碼,自主導入 bcrypt 模組並印出版本進行診斷,最終成功重建帳號並完成登入驗證。

這種驚人的自我修復能力在後續刪除資料庫時再次獲得印證:當資料庫刪除命令因外鍵約束而執行失敗時,AI 代理人迅速理解了失敗原因,自動在下一組指令中加入停用外鍵檢查的設定,進而成功繞過限制並執行刪除。

在徹底掌控資料庫前,JadePuffer 還透過 MySQL 檔案讀取指令進行了長達 8 分鐘的 縝密的容器逃逸前置檢查,細緻地讀取 docker.sock、cgroup 以及 /proc/1/mountinfo 檔案,並嘗試利用 MySQL 的使用者定義函數(UDF)進行權限提升,企圖染指宿主系統,並在確認無誤後寫入完成標記。

確認控制權後,AI 代理人隨即發動毀滅性的勒索行動,使用 MySQL 內建的 AES_ENCRYPT() 函數,直接將 1,342 筆 Nacos 設定項目加密,並刪除原始設定與歷史紀錄,隨後建立名為 README_RANSOM 的勒索資料表,寫入比特幣收款地址與聯絡用電子郵件。

Sysdig 如何判定 JadePuffer 是由 AI Agent 驅動?

Sysdig 團隊指出,有幾項證據可以支撐「JadePuffer 完全由自主 AI 代理人驅動」的鑑識結論。首先是其「自我敘事程式碼(Self-narrating Code)」的特徵,AI 代理人的解碼程式碼中充斥著評估目標最大資料庫、投資報酬率(ROI)等詳細的自然語言註解,這是一般人類駭客在撰寫拋棄式腳本時絕不會做,但 LLM 自動生成程式碼時預設會反射性產生的行為。

其次是「比特幣錢包的幻覺疑點」,勒索信中留下的比特幣地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 實際上是出現在比特幣核心與開發者文件中的教科書範例地址,由於 LLM 訓練語料高度飽和,AI 代理人直接幻覺帶入了這個經典範例,導致受害者若付款也只會匯入該範例錢包。最後,該行動在極短的時間內執行了超過 600 組不同且極具目的性的有效負荷,其速度與密度絕非人類操作者或固定腳本所能比擬。

為了對抗這種新型態的 ATA 威脅,Sysdig 建議防禦者必須採取主動;企業應立即修補 Langflow 漏洞並嚴禁將程式碼執行或驗證端點暴露在網路上;同時,絕對不可將雲端憑證或 API 金鑰直接存放在 AI 編排伺服器的環境變數中,應統一由專門的金鑰管理服務(Secret Manager)進行存取管制。至於 Nacos 設定服務,必須立即變更預設的 token.secret.key,避免使用官方文件中公開的簽章,且絕不能讓該服務以 root 權限連線至備份 MySQL 資料庫。最後,企業必須針對資料庫管理帳號實施嚴格的存取限制,並透過出站流量控管(Egress Controls)阻止受害主機向外發送中繼訊號或與未授權的外部伺服器連線。

JadePuffer 的出現,代表勒索攻擊正從工具自動化邁向 AI 代理人自動化。對 CISO 而言,必須重新盤點 AI 開發框架、憑證管理、設定服務與資料庫權限,避免分散弱點而被 AI Agent 串聯成完整攻擊鏈。 

【推薦閱讀】
【AI Agent 身分治理】企業擁抱 AI Agent 卻幾乎不做把關,三個方向現在就能補救
Q-Day 倒數中:池安量子資安揭企業啟動「後量子遷移」的 4 大關鍵步驟
資安長看不到的「暗物質」:放手讓 AI 自動修補前,先過 5 道門檻

*本文開放合作夥伴轉載,資料來源:《Bleeping Computer》Sysdig,首圖來源:Unsplash