雲端安全平台 Sysdig 的研究人員發現「JADEPUFFER」,是完全由大型語言模型驅動的 AI Agent 執行勒索軟體攻擊行動,他們認為這是第一例有紀錄的 AI Agent 自主執行勒索軟體攻擊案例。
根據 Sysdig 威脅研究團隊(Sysdig Threat Research Team)所述,JADEPUFFER 運用自主 AI Agent,對目標進行偵查工作、竊取憑證、橫向移動、建立持久性存在、提升權限以及加密資料。Sysdig 指出,這款 AI Agent 在入侵過程會針對失敗狀況自主調整,如同真人操作一樣排除障礙。
「攻擊行動會即時調整,會在經過精煉後的參數條件下重新嘗試失敗的步驟。在一段序列中,它從一次失敗的登入嘗試,到解決問題並成功登入,過程只花了 31 秒」,Sysdig 表示。
JADEPUFFER 透過利用 CVE-2025-3248 這項漏洞取得對目標系統的初始存取權,這是 Langflow 一項未經身分驗證的遠端程式碼執行漏洞,Langflow 本身是一款用於開發 AI 應用程式的熱門開源框架。
這個漏洞由供應商在 2025 年 4 月 1 日完成修補,同年 5 月初,美國的網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)將此漏洞標記為已被用於針對暴露在網路端點所發動的攻擊行動。這些端點的部署通常具備極為有限的強化設定,卻含有雲端運算憑證和 API 金鑰等敏感資料。
透過這項漏洞取得程式碼執行權後,AI Agent 便將 Langflow 的 PostgreSQL 資料庫傾倒出來,收集主機資訊、搜尋環境變數和敏感檔案、擷取憑證資料、列舉出 MinIO 物件儲存相關資訊。
Sysdig 特別點出 AI Agent 在進行 MinIO 列舉時所採取的做法,當某項 API 請求傳回 XML 而非 JSON 時,下一個負載便會相應調整解析邏輯。
JADEPUFFER 同時也在 Langflow 主機建立了持久性存在,在伺服器安裝一項 cron 排程作業,設定成每 30 分鐘便向攻擊者的基礎設施發送一次訊號。
攻擊者從 Langflow 實例轉向執行阿里巴巴 Nacos(Naming and Configuration Service)的生產環境 MySQL 伺服器,使用 Sysdig 無法確認來源的憑證。
AI Agent 探查了容器逃脫的相關方法,並部署勒索軟體有效負載。Sysdig 表示,JADEPUFFER 在刪除原始資料前,加密了 1,342 項 Nacos 服務設定項目。
其他顯示這次攻擊行動由 AI 掌控的跡象,包括所生成的程式碼含有以自然語言所撰寫、描述背後推理過程的詳細註解,以及攻擊行動會針對遭遇到的錯誤快速因應,而不只是進行簡單的重試動作。
Sysdig 在結論中指出,這起 JADEPUFFER 案例表明「代理式威脅行為者」(agentic threat actors,ATA)的時代已然來臨,它降低網路攻擊所需要的技術門檻。與此同時,有鑑於 AI Agent 目前的運作方式,由大型語言模型生成的有效負載也為各項資安解決方案帶來全新偵測機會。
(首圖來源:pixabay)






