Sysdig 澄清首例"智能体勒索软件"JadePuffer:AI 执行攻击但人类仍负责设置与选目标
阅读原文· techcrunch.com号称首例AI全自主勒索攻击其实仍需人类‘选目标’,关键澄清浇灭了一些恐慌,但代理化攻击的廉价复制性仍是真难题。
云安全公司 Sysdig 记录了首例“智能体勒索软件”攻击 JadePuffer,AI 智能体独立完成入侵、窃取凭证、横向移动、加密超 1,300 条配置记录并撰写赎金信,还能在 31 秒内修复失败登录并以自然语言注释解释推理过程。但 Sysdig 高级威胁研究总监 Michael Clark 澄清,人类仍负责设置攻击基础设施、选择受害目标、提供通过此前入侵获取的数据库凭证。Sysdig 未能识别驱动该智能体的具体模型;AI 智能体在攻击中窃取了 OpenAI、Anthropic、DeepSeek 和 Gemini 的 API 密钥,Clark 表示这些密钥属于“战利品”而非驱动模型。微软研究员 Geoff McDonald 推测模型为移除安全训练的开源权重模型。

**图片来源:**ChatGPT 为 TechCrunch 制作 /
安全
首个AI驱动的勒索软件攻击仍需人类参与
Connie Loizos
2026年7月6日下午4:56(太平洋夏令时)
上周,云安全公司Sysdig的研究人员表示,他们记录到了首个已知的“AI智能体勒索软件”案例。这是一起代号为JadePuffer的勒索行动,其中由AI智能体(而非人类)从头到尾处理了一次真实网络攻击的技术执行。该智能体入侵了一个易受攻击的服务器,窃取了凭证,在目标网络中横向移动,加密了文件,甚至编写了自己的勒索信,并像人类黑客一样沿途应对障碍。关于这次资助的报道称其运行“没有任何人为监督”,“键盘前没有人”。
但这并非全貌。周一,Sysdig威胁研究高级总监Michael Clark在接受CyberScoop采访时澄清,人类仍然深度参与其中——只是不在技术执行环节。“人类仍然设置了并指向了这次行动,配置了其背后的基础设施、命令与控制服务器、用于窃取数据的中转服务器,并选择了受害者,”Clark说。他还补充道,用于入侵受害者数据库的凭证并非AI智能体自行获取的;而是有人通过先前的入侵单独获取了它们,并交给了该行动。
这些都不矛盾Sysdig最初的声明,而攻击的技术细节本身仍然值得注意——甚至可以说是疯狂。该智能体通过Langflow(一个用于构建LLM应用的流行开源工具)中已知的漏洞进入,然后转移到生产环境的MySQL服务器,并利用另一个已知漏洞获得了管理员权限。它加密了超过1300条配置记录,不仅留下了自己编写的勒索信,还留下了可用于支付赎金的比特币地址。Sysdig尚未披露目标是谁。
这些手法据称相当普通,但突出的是其中涉及的速度和透明度。该智能体在31秒内修复了一次登录失败,并在过程中全程用自然语言代码注释叙述了自己的推理过程。
最初一个看似模糊了事态的细节后来得到了澄清。Clark 曾向 CyberScoop 表示,Sysdig 发现“攻击中使用了多个模型”,并列举了被窃取的 OpenAI、Anthropic、DeepSeek 和 Gemini 的密钥——这样的说法让人猜测,是否有多款模型积极驱动了入侵的不同阶段。在被要求澄清时,Clark 告诉 TechCrunch,那些密钥只是该智能体窃取物的一部分,并非驱动它的证据。
“该智能体在 Langflow 主机上扫描一切有价值的东西——供应商 API 密钥、云凭证、加密货币钱包以及数据库配置——而那些供应商密钥只是赃物的一部分,”他在邮件中说道。“它们说明攻击者认为什么值得拿走,但不能告诉我们究竟是哪个模型在做决策。”
关于实际运行 JadePuffer 的模型,Clark 表示 Sysdig“无法识别驱动该智能体的具体模型”,也看不到其系统提示词或配置信息。
微软研究员 Geoff McDonald 几天前在 LinkedIn 上提出的理论,值得在此重新审视。McDonald 怀疑这次攻击背后是一个去除了安全训练的开权重模型,而非前沿模型,他的根据是自己的红队经验——前沿实验室的安全层保护得很好。Sysdig 自身的说法既没有证实也没有排除这一可能性。
McDonald 的帖子还警告说,勒索软件攻击活动现在主要受限于攻击者的预算,而非人力,从而引发了“同时发起数千或数万次攻击活动”的可能性。这一担忧与 Clark 周一描述的情况有些难以吻合。(至少,如果每次攻击都要人工选择受害者、配置基础设施并获取数据库凭证,那就会形成一定瓶颈。)
无论如何,Clark 告诉 CyberScoop,虽然 Sysdig 尚未发现同样的攻击行动涉及其他受害者,但考虑到运行一个智能体如此便宜,他预计这种情况将会改变。