# Sysdig 澄清首例"智能体勒索软件"JadePuffer：AI 执行攻击但人类仍负责设置与选目标

- 来源：TechCrunch：AI（RSS）
- 作者：Connie Loizos
- 发布时间：2026-07-07 07:56
- AIHOT 分数：72
- AIHOT 标记：精选
- AIHOT 链接：https://aihot.virxact.com/items/cmr9wjj3g00jhih9kuibhf720
- 原文链接：https://techcrunch.com/2026/07/06/the-first-ai-run-ransomware-attack-still-needed-a-human

## 精选理由

号称首例AI全自主勒索攻击其实仍需人类‘选目标’，关键澄清浇灭了一些恐慌，但代理化攻击的廉价复制性仍是真难题。

## AI 摘要

云安全公司 Sysdig 记录了首例“智能体勒索软件”攻击 JadePuffer，AI 智能体独立完成入侵、窃取凭证、横向移动、加密超 1,300 条配置记录并撰写赎金信，还能在 31 秒内修复失败登录并以自然语言注释解释推理过程。但 Sysdig 高级威胁研究总监 Michael Clark 澄清，人类仍负责设置攻击基础设施、选择受害目标、提供通过此前入侵获取的数据库凭证。Sysdig 未能识别驱动该智能体的具体模型；AI 智能体在攻击中窃取了 OpenAI、Anthropic、DeepSeek 和 Gemini 的 API 密钥，Clark 表示这些密钥属于“战利品”而非驱动模型。微软研究员 Geoff McDonald 推测模型为移除安全训练的开源权重模型。

## 正文

**图片来源：**ChatGPT 为 TechCrunch 制作 /

安全

首个AI驱动的勒索软件攻击仍需人类参与

Connie Loizos

2026年7月6日下午4:56（太平洋夏令时）

上周，云安全公司Sysdig的研究人员表示，他们记录到了首个已知的“AI智能体勒索软件”案例。这是一起代号为JadePuffer的勒索行动，其中由AI智能体（而非人类）从头到尾处理了一次真实网络攻击的技术执行。该智能体入侵了一个易受攻击的服务器，窃取了凭证，在目标网络中横向移动，加密了文件，甚至编写了自己的勒索信，并像人类黑客一样沿途应对障碍。关于这次资助的报道称其运行“没有任何人为监督”，“键盘前没有人”。

但这并非全貌。周一，Sysdig威胁研究高级总监Michael Clark在接受CyberScoop采访时澄清，人类仍然深度参与其中——只是不在技术执行环节。“人类仍然设置了并指向了这次行动，配置了其背后的基础设施、命令与控制服务器、用于窃取数据的中转服务器，并选择了受害者，”Clark说。他还补充道，用于入侵受害者数据库的凭证并非AI智能体自行获取的；而是有人通过先前的入侵单独获取了它们，并交给了该行动。

这些都不矛盾Sysdig最初的声明，而攻击的技术细节本身仍然值得注意——甚至可以说是疯狂。该智能体通过Langflow（一个用于构建LLM应用的流行开源工具）中已知的漏洞进入，然后转移到生产环境的MySQL服务器，并利用另一个已知漏洞获得了管理员权限。它加密了超过1300条配置记录，不仅留下了自己编写的勒索信，还留下了可用于支付赎金的比特币地址。Sysdig尚未披露目标是谁。

这些手法据称相当普通，但突出的是其中涉及的速度和透明度。该智能体在31秒内修复了一次登录失败，并在过程中全程用自然语言代码注释叙述了自己的推理过程。

最初一个看似模糊了事态的细节后来得到了澄清。Clark 曾向 CyberScoop 表示，Sysdig 发现“攻击中使用了多个模型”，并列举了被窃取的 OpenAI、Anthropic、DeepSeek 和 Gemini 的密钥——这样的说法让人猜测，是否有多款模型积极驱动了入侵的不同阶段。在被要求澄清时，Clark 告诉 TechCrunch，那些密钥只是该智能体窃取物的一部分，并非驱动它的证据。

“该智能体在 Langflow 主机上扫描一切有价值的东西——供应商 API 密钥、云凭证、加密货币钱包以及数据库配置——而那些供应商密钥只是赃物的一部分，”他在邮件中说道。“它们说明攻击者认为什么值得拿走，但不能告诉我们究竟是哪个模型在做决策。”

关于实际运行 JadePuffer 的模型，Clark 表示 Sysdig“无法识别驱动该智能体的具体模型”，也看不到其系统提示词或配置信息。

微软研究员 Geoff McDonald 几天前在 LinkedIn 上提出的理论，值得在此重新审视。McDonald 怀疑这次攻击背后是一个去除了安全训练的开权重模型，而非前沿模型，他的根据是自己的红队经验——前沿实验室的安全层保护得很好。Sysdig 自身的说法既没有证实也没有排除这一可能性。

McDonald 的帖子还警告说，勒索软件攻击活动现在主要受限于攻击者的预算，而非人力，从而引发了“同时发起数千或数万次攻击活动”的可能性。这一担忧与 Clark 周一描述的情况有些难以吻合。（至少，如果每次攻击都要人工选择受害者、配置基础设施并获取数据库凭证，那就会形成一定瓶颈。）

无论如何，Clark 告诉 CyberScoop，虽然 Sysdig 尚未发现同样的攻击行动涉及其他受害者，但考虑到运行一个智能体如此便宜，他预计这种情况将会改变。
