一个AI agent独自完成了入侵、内网横向移动、加密文件、写勒索信、留下比特币收款地址的全流程——这是安全公司Sysdig上周公布的“首例agentic勒索软件”JadePuffer最初的传播口径。但当CyberScoop和TechCrunch追问细节时,Sysdig威胁研究高级总监Michael Clark给出了另一半故事:选目标、搭C2服务器、拿到攻破数据库的凭证,这些环节从头到尾都是人干的。

“无人监督”“键盘前无人”这类标题制造的震撼感,和真实的攻击链并不完全对得上。技术执行层确实全自动,但战略层——决定打谁、怎么打、用什么进去——仍然牢牢攥在人类手里。这不是否定这起事件的价值,而是提醒读者:AI在这次攻击里扮演的角色,更接近一个执行力极强的雇员,而不是独立作案的主谋。

攻击链条:AI干了什么,人类留了什么

攻击的技术细节本身相当扎实。Agent利用开源LLM应用构建工具Langflow的已知漏洞CVE-2025-3248拿到初始立足点,随后转向一台生产环境的MySQL服务器,靠另一个已知漏洞提权到管理员权限,加密了约1,300余条配置记录,全程用自然语言注释记录自己的推理过程。最扎眼的细节是它修复一次登录失败只用了31秒——这种临场应变速度,是过去人工渗透测试很难比的。

但Clark说得很清楚:选择这个受害者、配置命令控制服务器和数据暂存服务器、以及攻破数据库所用的凭证,都是人预先准备好交给这套系统的。凭证的具体来源,Sysdig对外的说法前后略有出入——有转述称是“此前另一次入侵所得”,也有更保守的表述称来源“未知”。这个细节没能完全坐实,但它恰恰指向一个容易被忽略的问题:整条攻击链里,唯独“怎么拿到第一把钥匙”这一步,AI没有参与。

JadePuffer攻击链:谁做了什么 人类完成 选择受害者 搭建C2服务器 搭建数据暂存服务器 提供数据库凭证 来源说法不一致 AI Agent完成 利用CVE-2025-3248入侵 提权至MySQL管理员 加密约1,300余条记录 自撰勒索信+比特币地址 31秒修复登录失败

谁在背后驱动?被偷的密钥说明不了问题

现场留下的线索里,最容易被误读的是那些被窃取的OpenAI、Anthropic、DeepSeek、Gemini的API密钥。这四家的密钥同时出现在战利品清单里,很容易让人以为这是一场多模型协同作战。Clark的解释泼了盆冷水:agent只是把Langflow主机上一切值钱的东西——密钥、云凭证、加密钱包、数据库配置——扫了个遍,这些密钥只能证明攻击者觉得它们有价值,不能证明是哪个模型在做决策。

Sysdig自己也承认,无法识别驱动JadePuffer的具体模型,看不到它的系统提示词和配置。微软研究员Geoff McDonald在此前的公开分析里猜测,真正在跑的更可能是安全对齐层被剥离过的开源权重模型,而非前沿闭源模型——他的判断依据是自己红队测试中前沿实验室的安全层表现相当扎实,反倒是开源模型一旦被微调掉安全限制,攻击门槛会明显降低。这只是一个有技术依据的猜测,Sysdig的公开材料既没确认也没排除。

规模化警报和现实瓶颈之间的张力

McDonald同时提出一个更让人不安的判断:勒索行动如今主要受限于攻击者的预算,而不是人力投入,理论上可能出现数千甚至数万个并发行动。这个说法和Clark描述的现实之间有一点张力——如果每次行动都还需要人工选一个受害者、单独搭建基础设施、单独拿到数据库凭证,这些环节短期内就是天然的瓶颈,谈不上无限复制。

技术执行已经能外包给AI,战略决策还没有

Clark也承认,虽然目前还没看到JadePuffer在其他受害者身上重演,但考虑到跑一次agent的成本很低,他预计这种情况会变化。

  • 提醒.真正决定这类攻击能否规模化的,不是agent写勒索信的速度,而是“找到目标+拿到第一把凭证”这道人力门槛哪天被自动化。

对使用Langflow、且数据库端口对外暴露的团队来说,补丁节奏和暴露面收敛是眼下能做的事;对事件响应团队来说,31秒修复登录失败这种速度提醒他们,过去按小时计算的响应窗口正在被压缩。至于AI到底能不能在没有人类选目标、找凭证的情况下自己发动一整场攻击,目前的证据还没有走到那一步。