資安廠商 Sysdig 的威脅研究團隊(TRT)近日揭露首個公開記錄的 AI 代理人勒索軟體(Agentic Ransomware)案例,並將該攻擊行動命名為「JadePuffer」。這是一場完全由大型語言模型(LLM)端到端驅動的完整勒索行動,打破過去勒索軟體背後必須有「人類在鍵盤前操縱」或手動撰寫腳本的常規。因此,研究人員將這類新型威脅定義為「代理型威脅行為者(Agentic Threat Actor, ATA)」,意即其攻擊能力是完全由自主 AI 代理人交付與執行,而非人類操作的工具包。
這場由 AI 代理人主導的攻擊行動,展現出高度系統化且具備即時自我修正能力的自適應手段,並為企業敲響三記警鐘。
警訊一:暴露的 AI 開發框架成為勒索攻擊的天然入口
這場新型勒索風暴的起點,源於企業對 AI 基礎設施的安全忽視。JadePuffer 攻擊者首先瞄準了暴露在網路上的 Langflow 實例,這是一個用於建立大型語言模型應用與代理人工作流的開源框架。
攻擊者利用了 Langflow 的 CVE-2025-3248 漏洞,該漏洞屬於程式碼驗證端點中缺少身分驗證的缺陷,允許未經驗證的遠端攻擊者直接在主機上執行任意 Python 程式碼。Sysdig 指出,這類與 AI 鄰近的伺服器之所以成為極具吸引力的攻擊入口,是因為開發人員為了維持運作,經常在這些伺服器的環境變數中存放大量雲端憑證或 AI 供應商的 API 金鑰,且在急於部署的過程中往往缺乏妥善的網路存取控制。
警訊二:AI Agent 的自適應橫向移動與無差別憑證搜刮
一旦透過漏洞取得執行權限,JadePuffer 就展現出驚人的自主偵察能力。首先,JadePuffer 會在主機上收集系統資訊,並平行掃描各種類別的機密資料,其中包括大型語言模型供應商的 API 金鑰、加密貨幣錢包和助記詞、資料庫憑證以及系統設定檔。
在完成初步收集後,JadePuffer 會將目標轉向本地,直接匯出 Langflow 本身背後的 PostgreSQL 資料庫以獲取其中儲存的憑證和使用者紀錄,並在審查暫存檔案後將其刪除以規避偵測。
接著,JadePuffer 開始探測內網中可觸及的位址空間,尋找資料庫、物件儲存、金鑰庫與服務發現端點,並嘗試使用預設憑證進行登入。在內網探測中,代理人成功鎖定了容器化部署中常見的 MinIO 物件儲存服務,並直接使用預設的管理員憑證進行枚舉。
在這樣的過程中,AI 代理人展現高超的「自適應自我修正」能力:當其發出 JSON 格式請求卻收到 S3 XML 格式響應時,AI 代理人並未死板地重複錯誤請求,而是立即自主調整 XML 解析器以適應 S3 響應模式,進而成功列舉所有的儲存桶。AI 代理人隨後優先篩選並下載儲存 Terraform 狀態與內部設定的儲存桶,並將包含存取金鑰的 credentials.json 與 .env 憑證檔案下載至本地,同時在 Langflow 主機上設定每 30 分鐘向中繼站發送一次訊號的排程工作以維持持久控制。
警訊三:控制 Nacos 設定服務與無金鑰毀滅性加密
在取得憑證後,JadePuffer 將真正目標鎖定在一台獨立且暴露於網路上的生產伺服器,該伺服器執行著 MySQL 資料庫,以及阿里巴巴的 Nacos 命名與設定服務。
JadePuffer 同時採用多種手段接管 Nacos 服務,包括利用歷史悠久的繞過 CVE-2021-29441 身分驗證漏洞、使用已知的預設 JWT 簽章金鑰偽造管理員 Token,並在擁有 MySQL 的 root 權限下,直接在 Nacos 的後端資料庫中注入後門管理員帳號。
在注入後門的過程中,當 AI 代理人發現首次嘗試因為系統環境缺少 bcrypt 套件而導致登入失敗時,僅花 31 秒的時間便自動改寫 15 行程式碼,自主導入 bcrypt 模組並印出版本進行診斷,最終成功重建帳號並完成登入驗證。
這種驚人的自我修復能力在後續刪除資料庫時再次獲得印證:當資料庫刪除命令因外鍵約束而執行失敗時,AI 代理人迅速理解了失敗原因,自動在下一組指令中加入停用外鍵檢查的設定,進而成功繞過限制並執行刪除。
在徹底掌控資料庫前,JadePuffer 還透過 MySQL 檔案讀取指令進行了長達 8 分鐘的 縝密的容器逃逸前置檢查,細緻地讀取 docker.sock、cgroup 以及 /proc/1/mountinfo 檔案,並嘗試利用 MySQL 的使用者定義函數(UDF)進行權限提升,企圖染指宿主系統,並在確認無誤後寫入完成標記。
確認控制權後,AI 代理人隨即發動毀滅性的勒索行動,使用 MySQL 內建的 AES_ENCRYPT() 函數,直接將 1,342 筆 Nacos 設定項目加密,並刪除原始設定與歷史紀錄,隨後建立名為 README_RANSOM 的勒索資料表,寫入比特幣收款地址與聯絡用電子郵件。
Sysdig 如何判定 JadePuffer 是由 AI Agent 驅動?
Sysdig 團隊指出,有幾項證據可以支撐「JadePuffer 完全由自主 AI 代理人驅動」的鑑識結論。首先是其「自我敘事程式碼(Self-narrating Code)」的特徵,AI 代理人的解碼程式碼中充斥著評估目標最大資料庫、投資報酬率(ROI)等詳細的自然語言註解,這是一般人類駭客在撰寫拋棄式腳本時絕不會做,但 LLM 自動生成程式碼時預設會反射性產生的行為。
其次是「比特幣錢包的幻覺疑點」,勒索信中留下的比特幣地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 實際上是出現在比特幣核心與開發者文件中的教科書範例地址,由於 LLM 訓練語料高度飽和,AI 代理人直接幻覺帶入了這個經典範例,導致受害者若付款也只會匯入該範例錢包。最後,該行動在極短的時間內執行了超過 600 組不同且極具目的性的有效負荷,其速度與密度絕非人類操作者或固定腳本所能比擬。
為了對抗這種新型態的 ATA 威脅,Sysdig 建議防禦者必須採取主動;企業應立即修補 Langflow 漏洞並嚴禁將程式碼執行或驗證端點暴露在網路上;同時,絕對不可將雲端憑證或 API 金鑰直接存放在 AI 編排伺服器的環境變數中,應統一由專門的金鑰管理服務(Secret Manager)進行存取管制。至於 Nacos 設定服務,必須立即變更預設的 token.secret.key,避免使用官方文件中公開的簽章,且絕不能讓該服務以 root 權限連線至備份 MySQL 資料庫。最後,企業必須針對資料庫管理帳號實施嚴格的存取限制,並透過出站流量控管(Egress Controls)阻止受害主機向外發送中繼訊號或與未授權的外部伺服器連線。
JadePuffer 的出現,代表勒索攻擊正從工具自動化邁向 AI 代理人自動化。對 CISO 而言,必須重新盤點 AI 開發框架、憑證管理、設定服務與資料庫權限,避免分散弱點而被 AI Agent 串聯成完整攻擊鏈。
【推薦閱讀】
◆ 【AI Agent 身分治理】企業擁抱 AI Agent 卻幾乎不做把關,三個方向現在就能補救
◆ Q-Day 倒數中:池安量子資安揭企業啟動「後量子遷移」的 4 大關鍵步驟
◆ 資安長看不到的「暗物質」:放手讓 AI 自動修補前,先過 5 道門檻
*本文開放合作夥伴轉載,資料來源:《Bleeping Computer》、Sysdig,首圖來源:Unsplash



