HackerNews

HackerNews
AI 智能体利用 Langflow RCE 漏洞自动化执行数据库勒索软件攻击

AI 智能体利用 Langflow RCE 漏洞自动化执行数据库勒索软件攻击

给文章评分:

安全公司 Sysdig 表示,它发现了据信是首次由 AI 智能体从头到尾自主运行的勒索软件攻击。
其威胁研究团队将该操作者命名为 JADEPUFFER,并表示一个大语言模型处理了全部工作:入侵、窃取凭证、在网络中横向移动,然后加密并擦除了一家公司的生产数据库。
勒索软件一直都需要在某个环节有一名熟练人员,要么在键盘前操作,要么编写恶意软件所遵循的脚本。如果一个模型能够自主串联这些步骤,那么发动攻击所需的技能就降到了租用一个 AI 智能体的成本。
入侵途径是一个旧的、已被修补的漏洞。JADEPUFFER 利用了 CVE-2025-3248,这是 Langflow(一个用于构建 AI 应用和智能体工作流的开源工具)中的一个缺少身份验证的漏洞。该漏洞允许任何能够访问该服务器的人在其上运行自己的 Python 代码,无需登录。
Langflow 盒子是诱人的目标,因为它们通常暴露在互联网上,并持有其所连接服务的 API 密钥和云凭证。
该漏洞已在 Langflow 1.3.0 中修复,并于 2025 年 5 月被添加到 CISA 的已知被利用漏洞目录中,但许多服务器从未更新。这甚至不是唯一一个以这种方式被攻击的 Langflow 漏洞。
一旦进入系统,智能体行动迅速并清理了痕迹。它映射了机器,然后扫描了其中的秘密:AI 服务的 API 密钥、云凭证、加密钱包密钥和数据库登录信息。
它使用从未更改过的出厂默认登录凭据入侵了一个 MinIO 存储服务器。它还设置了一条后路,添加了一个每 30 分钟 ping 一次攻击者服务器的计划任务。
然后它转向了真正的目标:一个独立的、面向互联网的服务器,运行着 MySQL 数据库和阿里巴巴的 Nacos(一种微服务设置中常见的设置和服务目录)。智能体以 root 身份登录了数据库。
Sysdig 表示从未看到这些 root 凭证的来源,因此其来源未知。从那里,它利用 2021 年的身份验证绕过漏洞和 Nacos 自 2020 年以来未更改过的默认签名密钥接管了 Nacos,然后植入了自己的管理员账户。
没有密钥的勒索信
智能体加密了全部 1,342 个 Nacos 设置,删除了原始表,并留下了一封勒索信,要求以比特币支付,并附有一个 Proton Mail 联系方式。它生成了一个随机加密密钥,在屏幕上打印了一次,然后从未保存或发送到任何地方。
没有密钥可以交出。即使受害者付款也无法恢复数据。(勒索信声称使用了 AES-256;Sysdig 指出它使用的工具默认使用较弱的 AES-128,但结果相同。)
然后它更进一步,删除了整个数据库,并在自己的代码中留下了一条评论,声称已将数据复制到了其他地方。
Sysdig 表示那是智能体在自说自话,团队无法确认这一点,并且没有发现任何数据实际被泄露的证据。
专家如何知道是 AI 在驱动
最明显的迹象是代码本身。攻击 payload 中充满了纯英文注释,解释了每一步操作的原因——这是人类黑客从不费心去写的运行注释,但模型默认会生成。智能体还以机器速度修复了自己的错误。
在一个案例中,它从一次失败的登录到正确的多步修复只用了 31 秒,诊断出了确切原因,而不是盲目重试。Sysdig 统计了整个操作中超过 600 个独立的、有目的的 payload。
有一个细节仍然是个谜。勒索信中的比特币地址正是出现在比特币自身开发者文档中的示例地址,这意味着它出现在这些模型所训练的文本中各处。它也是一个真实的、活跃的钱包,有着悠久的支付历史。
Sysdig 无法判断模型是简单地从记忆中粘贴了一个看起来熟悉的地址,还是操作者故意使用了一个恰好与著名示例匹配的真实钱包。
更大转变的一部分
JADEPUFFER 是 AI 驱动攻击快速发展的一年中的最新一步。2025 年 8 月,ESET 的研究人员标记了 PromptLock,号称是首个 AI 驱动的勒索软件;后来它被证实是纽约大学的一个实验室原型,名为 Ransomware 3.0,并非真实攻击。
大约在同一时间,Anthropic 报告了一起真实的勒索活动,该活动使用其 Claude Code 工具攻击了至少 17 个组织,赎金要求高达 50 万美元,尽管那次仍有人类在操控。
2025 年 11 月,Anthropic 披露了据称是首次基本自主的网络攻击,一次与中国国家有关的间谍活动,让 Claude 编写利用代码并窃取数据,几乎无需人工帮助。那次操作还让 AI 编造了不存在的凭证,可能与 JADEPUFFER 奇怪比特币地址背后的幻觉类型相同。
严重攻击的各个环节正在被自动化,而旧的、未修补的软件是容易的首要目标。智能体使得喷洒整个已知漏洞目录几乎零成本,因此被忽视的服务器变得更加暴露,而不是更少。
防御者应该做什么
修复措施是熟悉的。修补 Langflow,永远不要将其代码运行端点暴露到互联网上。不要在 AI 工具的环境中放置云密钥和提供商凭证;将机密保存在适当的管理器中,远离任何可通过网络访问的内容。
加固 Nacos:更改默认签名密钥,使其远离公共互联网,并且永远不要让它以 root 身份连接其数据库。永远不要将数据库的管理员账户暴露到互联网上,并锁定出站流量,使被黑的服务器无法回连。
由于攻击者现在可以在数小时内将新的安全公告武器化,Sysdig 认为在运行时监视不良行为比竞相打补丁更重要。
Sysdig 发布的该操作失陷指标包括:

  • 入口点:CVE-2025-3248(Langflow 未认证远程代码执行)
  • 命令与控制:45.131.66[.]106,每 30 分钟向 hxxp://45.131.66[.]106:4444/beacon 发送信标
  • 声称的中转服务器:64.20.53[.]230
  • 勒索比特币地址:3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy;联系邮箱:e78393397[@]proton[.]me;勒索表名:README_RANSOM
    Sysdig 称 JADEPUFFER 是一个警示信号而非危机。其中的单个步骤没有一个是巧妙或新颖的。新颖之处在于,一个模型将它们拼接成一次针对被忽视服务器的完整攻击,而且是自主完成的。
    随着智能体工具的成熟,可以预期更多此类事件,并将任何暴露的服务器、配置存储或数据库管理员登录视为机器会探测的目标,而不仅仅是人。


消息来源:thehackernews.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介