技術

AI代理獨自完成勒索軟體攻擊,但部署設置仍需人類介入

Adrian Kessler

剛剛登上資安頭條的勒索軟體,並非由駭客盯著終端機遠端操控。一款 AI 代理程式獨立完成了攻擊的每一個技術環節——掃描目標、竊取憑證、橫向移動,並加密超過一千筆資料庫記錄。它唯一做不到的,是自行建立收款基礎設施或寄送勒索訊息。

雲端資安公司 Sysdig 記錄了這起入侵事件,並將其命名為 JadePuffer。該代理程式透過 CVE-2025-3248 漏洞取得初始存取權限,這是一個存在於 Langflow 中的未經驗證遠端程式碼執行漏洞。Langflow 是一套用於建構 AI 應用程式的開源框架。從這個立足點出發,它掃蕩環境中的 API 金鑰、雲端存取權杖與資料庫憑證,接著轉移到一台生產環境的 MySQL 伺服器,並加密了儲存在 Nacos 中的 1,342 項配置項目——Nacos 是一個廣泛用於中國起源基礎架構堆疊的企業級服務註冊中心。

最引人注目的並非攻擊的廣度,而是它的自我修正能力。當嘗試偽造管理員憑證因路徑配置錯誤而失敗時,該代理程式診斷出根本原因,撰寫了一份 15 步驟的修復腳本,並在 31 秒內執行完畢。這樣的速度遠非人類操作員能夠即時診斷、編寫腳本並執行修復——這種行為指向的是真正的即時推理,而非預先寫好的腳本。

這並不代表勒索軟體攻擊即將完全脫離人類運作。該攻擊仍需要人類事先配置命令與控制伺服器、在 ProtonMail 上註冊勒索聯絡信箱,並在部署代理程式之前建立好基礎設施。JadePuffer 產生的加密金鑰從未被儲存或傳輸——這意味受害者即使支付贖金也無法取回資料,這個缺陷若非反映營運設計粗糙,就是對攻擊後協商毫不在乎。

JadePuffer 真正記錄的是成本降低,而非責任轉移。過去需要專業知識的每一個環節——橫向移動、權限提升、資料庫列舉、即時錯誤修正——現在都可以委派給代理程式。Sysdig 的結論很直接:勒索軟體攻擊的技術門檻已經降到只要負擔得起執行一個語言模型的成本。

此次攻擊鎖定暴露於網際網路的 Langflow 安裝實例。在 Langflow CVE 公開時,約有 7,000 個易受攻擊的實例被通報。任何在網際網路面向伺服器上執行未修補 Langflow、Nacos 或類似開源 LLM 基礎設施的組織,都處於相同的暴露風險中。這並非新建議,而是早在 AI 代理程式出現之前就已存在的安全配置指引。差別在於,現在探測那些暴露服務的操作者,會自動執行。

Langflow 漏洞已於 2025 年 4 月修補。Sysdig 發布了完整的入侵指標,包括 C2 IP 位址與勒索聯絡信箱。CISA 預計今年稍晚發布關於代理式 AI 系統限制的草案指引——部署的 AI 代理程式權限到哪裡為止、責任從哪裡開始,這個問題尚未形成政策。

標籤: , , , , ,

討論

共有 0 則留言。