研究人員發現一起名為 JadePuffer 的勒索軟體攻擊事件,據信是第一起全程由大型語言模型 (Large Language Model, LLM) 代理人執行的勒索軟體攻擊行動。
雲端安全廠商 Sysdig 指出,JadePuffer 利用自主 AI 代理人對目標裝置執行偵察、竊取憑證、橫向移動、建立持久性機制、提升權限及加密資料等攻擊流程。研究人員認為,AI 代理人可如同人類操作者一般,依據失敗經驗調整攻擊策略,並在入侵過程中持續學習。此外,它還能即時調整參數,重新執行先前失敗的步驟。例如,在一次攻擊流程中,代理人首次登入失敗後,僅經過 31 秒便完成調整並成功登入。
從初次登入到資料加密
第一階段中,JadePuffer 利用知名開原碼 LLM 應用程式開發框架 Langflow 的一項遠端程式碼執行漏洞 CVE-2025-3248 取得初始存取權限 (Initial Access) 。 Langflow 已於 2025 年 4 月 1 日修補該漏洞。美國網路安全暨基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA) 則於同年 5 月公告,攻擊者正積極利用 CVE-2025-3248 攻擊對外開放的端點,原因在於這類端點通常防護較為薄弱,卻可能保存雲端憑證及 API 金鑰。
Sysdig 研究人員特別指出,攻擊過程採用了具適應性的 MinIO 枚舉技術。若 API 要求回傳的是 XML 而非 JSON 格式,代理人便會自動調整後續的資料解析方式。 JadePuffer 也透過在伺服器建立排程工作(cron),於 Langflow 環境中部署持久性後門程式,每 30 秒向攻擊者控制的伺服器發送信標 (Beacon) 。
第二階段中,JadePuffer 利用 LLM,透過根憑證自 Langflow 執行個體橫向移動至執行 Alibaba Nacos (Naming and Configuration Service) 的營運 MySQL 伺服器。不過,研究人員尚未確認該根憑證的來源。 Nacos 過去曾遭多種惡意程式利用,其中包括針對 CVE-2021-29441 驗證繞過漏洞的攻擊。
完成橫向移動後,代理人開始尋找容器逃逸方法,並植入勒索軟體。 Sysdig 表示,JadePuffer 共加密了 1,342 個 Nacos 服務設定元件,隨後刪除原始檔案。
JadePuffer 的勒索訊息宣稱採用 AES-256 演算法加密資料,但研究人員分析認為,實際使用的是強度較低的 AES-127-ECB 演算法。
AI 代理人參與攻擊的跡象
Sysdig 指出,多項跡象顯示此次攻擊高度依賴 AI 代理人。例如,勒索軟體雖然會隨機產生加密金鑰,但金鑰既未儲存,也未傳送給攻擊者。此外,勒索訊息中的比特幣錢包位址竟是公開文件中的範例位址,被研究人員視為 LLM 複製訓練資料內容的痕跡。
其他證據還包括,惡意程式內由 AI 生成的程式碼註解提到,攻擊流程應根據實際遭遇的錯誤進行推理與快速迭代,而非僅反覆重試相同步驟。
Sysdig 研究人員指出,JadePuffer 顯示「代理式威脅行動 (Agentic Threat Actor, ATA)」已逐漸成形,有可能降低發動破壞性網路攻擊所需的技術門檻。
不過,研究團隊也認為,由 LLM 生成的惡意程式,同時為資安防護與偵測技術帶來新的辨識機會。
