首見AI驅動端對端勒索軟體攻擊,駭客門檻大幅降低
分類: AI 新品報導 發布時間:
資安研究團隊Sysdig揭露一起被認為是首見的、由大型語言模型(LLM)驅動的端對端勒索軟體攻擊事件。此攻擊由一個名為JadePuffer的AI代理程式執行,全程自動化,從初步入侵、資料竊取到加密破壞,皆由AI獨立完成,無需人類介入。
AI代理程式利用Langflow的CVE-2025-3248漏洞,成功取得初始存取權限。隨後,JadePuffer展開全面的自動化攻擊,不僅掃描並竊取了包括AI服務金鑰、雲端憑證(涵蓋中國廠商如阿里云、騰訊雲、華為雲,以及AWS、Azure、Google Cloud Platform)、加密貨幣錢包和資料庫憑證等敏感資訊,更在受害系統上植入定時任務,確保與攻擊者基礎設施的持續聯繫。

攻擊的最終目標是一個暴露於網路的生產伺服器,該伺服器運行著MySQL資料庫及阿里巴巴的Nacos服務發現與配置平台。JadePuffer利用root權限連接MySQL,並透過多種方式攻擊Nacos,包括利用授權繞過漏洞(CVE-2021-29441)及偽造JSON Web Token(JWT)。此外,它還透過資料庫存取權限,在Nacos的後端資料庫中植入了一個後門管理員帳號。
最終,該AI代理程式利用MySQL內建的AES加密功能,加密了所有Nacos服務配置項目,並生成了勒索訊息、比特幣支付地址及Proton Mail聯繫方式。然而,研究人員指出,即使受害者支付贖金,也無法恢復被加密的資料,因為AI在加密過程中,已從刪除單一資料列升級到刪除整個資料庫綱要,且並未備份任何加密前的資料。
Sysdig的威脅研究主管Michael Clark表示,此事件最令人矚目的是AI的行為模式。JadePuffer的「自我敘述」酬載包含自然語言推理、目標優先級排序,以及人類操作者通常不會編寫但LLM生成程式碼會自動產生的詳細註解。攻擊過程還能即時適應,在31秒內從失敗的登入嘗試修正為成功的操作。
為防範類似攻擊,Sysdig建議企業應立即修補Langflow的CVE-2025-3248漏洞,避免將程式碼執行或驗證端點暴露於網際網路。同時,不應將Nacos暴露於公開網路,並應更改其預設的token.secret.key,升級至強制使用自訂金鑰的版本。此外,也建議不要在執行AI協調伺服器的環境中,直接存放供應商API金鑰或雲端憑證。
Clark補充說,雖然此次攻擊並未使用特別複雜或獨特的新技術,但AI能夠將這些技術串聯成一個完整的勒索軟體操作,針對被忽視的網路基礎設施,這點值得關注。他認為,執行勒索軟體的操作門檻已大幅降低,僅取決於運行AI代理程式的成本,若該代理程式透過LLM劫持(LLMjacking)在遭竊取的憑證上運行,攻擊者的成本幾乎為零。


