AI自主勒索攻击背后仍有人类操控 封面图
行业资讯

AI自主勒索攻击背后仍有人类操控

Heooo 07月07日07时57分 4 阅读

「云安全公司Sysdig近期记录了首例AI代理自主执行的勒索攻击“JadePuffer”,攻击中AI代理独立完成入侵、窃密、加密及撰写勒索信等全流程技术操作,速度惊人且具备自我修复能力。然而Sysdig高级总监Michael Clark澄清,人类仍负责前期设置、基础设施搭建及目标选择,攻击所用凭证也非AI自行获取。该攻击利用Langflow漏洞入侵,加密超1300条记录,但驱动攻击的具体模型尚未明确。」

上周,云安全公司Sysdig的研究人员声称记录了首例已知的“代理勒索软件”(agentic ransomware)案例。这项名为“JadePuffer”的勒索行动中,一个AI代理——而非人类——从头到尾独立处理了真实网络攻击的技术执行环节。该代理成功侵入易受攻击的服务器,窃取凭证,在目标网络内横向移动,加密文件,甚至自行撰写勒索信,并像人类黑客一样在过程中适应各种障碍。相关报道描述该攻击“无需任何人类监督”,“键盘前无人操作”。

然而,这并非全貌。Sysdig威胁研究高级总监Michael Clark在接受CyberScoop采访时澄清,人类仍然深度参与——只是不在技术执行层面。“人类仍然负责设置并指挥整个行动,预置了背后的基础设施,包括命令与控制服务器、用于存储窃取数据的临时服务器,并选择了受害者,”Clark说道。他补充称,用于侵入受害者数据库的凭证并非AI代理自行获取;而是有人通过先前的入侵单独获取了这些凭证,并将其交给了行动。

这些澄清并未否定Sysdig最初的声明,攻击的技术细节本身仍然引人注目——甚至可以说是惊人。该代理通过Langflow(一个用于构建LLM应用的流行开源工具)中的一个已知漏洞进入系统,随后转移到生产环境中的MySQL服务器,并利用另一个已知漏洞获取了管理员权限。它加密了超过1300条配置记录,不仅留下了自行撰写的勒索信,还留下了一个比特币地址用于接收赎金。Sysdig尚未透露攻击目标是谁。

AI代理攻击流程示意图

从技术上看,这些手法相当普通,但真正突出的是攻击的速度和透明度。该代理在31秒内修复了一次失败的登录尝试,并在整个过程中以自然语言代码注释的形式叙述了自己的推理过程。这种自我解释能力让研究人员能够清晰地追踪其每一步决策,也凸显了AI代理在自动化攻击中的潜在效率优势。

一个最初看似模糊的细节现已得到澄清。Clark曾告诉CyberScoop,Sysdig发现“攻击中使用了多个模型”,并引用了被窃取的OpenAI、Anthropic、DeepSeek和Gemini的API密钥——这一表述留下了疑问:是否多个模型同时驱动了入侵的不同阶段?在被要求澄清时,Clark告诉TechCrunch,这些密钥只是代理窃取的部分战利品,并非驱动攻击的模型证据。

“代理在Langflow主机上扫描了所有有价值的东西——提供商API密钥、云凭证、加密货币钱包和数据库配置——那些提供商密钥只是战利品的一部分,”他通过电子邮件表示。“它们表明攻击者认为哪些东西值得拿走,但并不能告诉我们哪个模型在做决策。”关于实际驱动JadePuffer的模型,Clark表示Sysdig“无法识别驱动该代理的具体模型”,并且没有关于该模型架构或来源的可见性。

AI代理攻击技术架构图

这一事件引发了安全社区对AI代理自主攻击能力的广泛讨论。尽管人类仍负责前期的战略规划和基础设施搭建,但AI代理在技术执行层面的完全自主性——包括自我修复、决策记录和适应能力——标志着网络攻击自动化进入新阶段。对于防御者而言,这意味着需要重新审视传统安全策略:仅仅依赖已知漏洞修补和人工监控可能已不足够,AI驱动的攻击能够以远超人类的速度发现并利用漏洞,同时保持高度隐蔽。

Sysdig的研究还揭示了开源工具生态中的潜在风险。Langflow作为构建LLM应用的热门工具,其已知漏洞被利用作为初始入侵点,这提醒开发者和企业必须及时更新和修补第三方组件。同时,AI代理在攻击过程中窃取大量API密钥和云凭证的行为,也凸显了密钥管理和权限控制的重要性——攻击者不仅利用漏洞进入系统,还能通过窃取的凭证进一步扩大战果。

目前,安全行业正密切关注此类“代理勒索软件”的发展趋势。虽然JadePuffer攻击中人类仍扮演重要角色,但未来AI代理可能变得更加独立,甚至能够自主完成目标选择、凭证获取等前期工作。对于企业而言,构建多层防御体系、加强AI安全监控以及实施严格的凭证管理,已成为应对这一新兴威胁的当务之急。

# AI安全 # 代理勒索软件 # 网络攻击

来源:Heooo AI工具导航