2026 年 7 月 1 日,雲端安全公司 Sysdig 威脅研究團隊(TRT)發佈報告,首次披露代號 JADEPUFFER 的攻擊事件——這是目前已知第一例端到端、完全由大型語言模型驅動的完整勒索操作,從踩點偵察、憑證竊取、橫向移動、權限維持到破壞性加密與勒索信投遞,全程無人類在關鍵節點手動操作。攻擊經 CVE-2025-3248 拿下公網暴露的 Langflow 實例,再橫向攻破執行 MySQL + 阿里巴巴 Nacos 的生產伺服器;Sysdig 捕獲 600+ 條獨立 payload。本文按一手信源完整還原時間線、漏洞機理、雙階段攻擊鏈、四條「自主性」證據、比特幣位址懸案、IOC 彙總、官方防禦建議與產業反應,並給出六步落地防護。可與 MCP 協定基礎設施Claude Code 隱寫術事件 交叉閱讀。
01

JADEPUFFER 是什麼?首例 Agentic Threat Actor 勒索事件概述

一句話結論:Sysdig 將 JADEPUFFER 定義為 Agentic Threat Actor(ATA,智慧體威脅行為者)——攻擊能力由 AI Agent 交付,而非人工驅動的工具集。這是報告中正式提出的新分類概念。

維度詳情
發現方Sysdig TRT,報告作者 Michael Clark(Director of Threat Research)
發佈時間2026 年 7 月 1 日(媒體 7 月 2–6 日跟進,公眾認知節點多為 7 月 6 日)
攻擊者代號JADEPUFFER(Sysdig 官方全大寫命名)
入口機公網暴露的 Langflow 實例(CVE-2025-3248 RCE)
真正目標另一台公網暴露、執行 MySQL + Nacos 設定中心的生產伺服器
規模600+ 條獨立、有明確目的的 payload,壓縮時間窗口內執行完畢

時間線:

時間事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鑑權程式碼注入/RCE)
2025 年 5 月 5 日CISA 列入已知被利用漏洞(KEV)目錄
2025 年同漏洞被用於投遞 Flodrix 殭屍網路(Trend Micro 獨立披露,與 JADEPUFFER 無關)
2026 年 6 月JADEPUFFER 對公網 Langflow 發起攻擊,攻擊鏈在數週內分多個工作階段執行
2026 年 7 月 1 日Sysdig 發佈完整技術報告
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 跟進
01

公網暴露 Langflow:AI Agent 編排伺服器環境變數常存放大模型 API Key 與雲端憑證,團隊倉促上線、缺乏網路存取控制。

02

高危漏洞長期被掃:CVE-2025-3248 EPSS 被利用機率 91.42%(SentinelOne),公網掃描武器化持續進行。

03

下游基礎設施老化:真正目標利用 2021 年 Nacos 鑑權繞過與從未更換的預設 JWT 簽章密鑰。

04

MySQL root 暴露公網:Agent 用 root 憑證直連暴露連接埠,憑證來源不明,或為人類預先準備環節。

05

加密密鑰不可恢復:uuid4() 隨機產生、僅列印 stdout、從未外傳——付款也無法解密。

02

CVE-2025-3248 漏洞機理:Langflow 未鑑權 RCE 如何被武器化

項目詳情
元件Langflow — 開源視覺化 AI Agent 工作流框架,GitHub 星標 7 萬+
漏洞類型CWE-94(程式碼注入)+ CWE-306(關鍵功能缺失身分驗證)
CVSS9.8 Critical,向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 介面
修復版本1.3.0(新增身分驗證)

成因逐步拆解:該介面本意是校驗使用者自訂函式節點語法,實作為 ast.parse()compile()exec()完全沒有身分驗證與沙箱隔離。Python 函式定義時裝飾器與參數預設值在定義瞬間立即求值,攻擊者把惡意程式碼寫進預設參數,Langflow 做「合法性校驗」時程式碼已在伺服器執行——無需登入,一個 HTTP POST 即 RCE

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Trend Micro 在追蹤 Flodrix 殭屍網路活動中記錄到上述典型 payload(另一波獨立利用)。最終下載 700 位元組 Bash 指令碼拉取 Flodrix ELF 二進位檔,組建 TCP/UDP 雙通道 DDoS 殭屍網路。

維度Flodrix 殭屍網路JADEPUFFER(本事件)
驅動方式傳統人工/指令碼化投遞LLM Agent 端到端自主驅動
入口漏洞CVE-2025-3248CVE-2025-3248
最終目的DDoS 殭屍網路資料庫勒索與破壞性加密
關聯兩起獨立活動,共同說明該漏洞長期被公網武器化

修補分析:Langflow 1.3.0 為 post_validate_code 新增 _current_user: CurrentActiveUser 相依性注入;FastAPI 先驗證 JWT Bearer 或 x-api-key,失敗直接 401/403,請求不會到達漏洞邏輯。

Langflow 成為「有吸引力入口點」,因為 AI Agent 伺服器環境變數裡經常存放 OpenAI、Anthropic、DeepSeek、Gemini 及 ALIBABA_/AWS/GCP 等雲端憑證。

03

完整攻擊鏈還原:Phase 1 Langflow 淪陷與 Phase 2 Nacos 接管

Phase 1 — 拿下 Langflow 主機:全部 payload 以 Base64 編碼 Python 經 RCE 端點投遞。

偵察與憑證收集(多執行緒並行):執行 iduname -ahostname,並行掃描 OpenAI/Anthropic/DeepSeek/Gemini API Key、ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure 雲端憑證、加密貨幣助記詞、資料庫設定。

本地資料竊取:匯出 Langflow PostgreSQL 後端庫中憑證與 API Key,暫存本地審閱後刪除痕跡。

MinIO 列舉:探測 minio.internal:9000127.0.0.1:9000,用預設憑證 minioadmin:minioadmin 列舉 Bucket,優先提取 terraform-state 桶與 credentials.json。第一次請求帶 ?format=json 收到 XML 後立即改用 XML 解析器重試——典型探測-遇錯-自適應閉環。

持久化:安裝 crontab 每 30 分鐘信標外聯 hxxp://45.131.66[.]106:4444/beacon

Phase 2 — 攻破 MySQL + Nacos 生產伺服器:Nacos 廣泛用於阿里系微服務;鑑權有 CVE-2021-29441 繞過歷史,預設 JWT 簽章密鑰自 2020 年起公開於文件,許多部署未更換。

Nacos 後門管理員注入——31 秒自主修復閉環(UTC 時間戳):

時間(UTC)動作
19:34:24subprocess.run 產生 bcrypt 雜湊,插入 xadmin 管理員
19:34:36嘗試 xadmin:Xploit@2026# 登入失敗
19:34:4812 秒後並行測試 nacos:nacos 預設憑證並重新產生 admin123 雜湊
19:35:07放棄 subprocess.run,改用 import bcrypt,刪除損壞記錄後重建
19:35:18登入成功——總耗時 31 秒
python
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')

容器逃逸探測(約 8 分鐘):利用 MySQL INTO OUTFILE / LOAD_FILE 測試寫入、讀回、/var/run/docker.sock/proc/1/cgroup/etc/hostname,檢查 mysql.func UDF 提權可能。進入勒索前主動寫「完成標記」_pwn_cleanup.txt——Sysdig 指出這更像結構化 Agent 發信號進入下一階段,而非固定指令碼行為。

破壞性加密:將全部 1,342 條 Nacos 設定項用 AES_ENCRYPT() 加密,刪除 config_infohis_config_info,建立勒索表 README_RANSOM。密鑰 uuid4() 隨機產生、僅列印一次、從未儲存——付款也無法恢復。勒索信聲稱 AES-256,但 MySQL 預設實為 AES-128-ECB。

大規模破壞:按 ROI 優先 DROP DATABASE,程式碼註解自述「已備份至 64.20.53[.]230」——Sysdig 無獨立證據證實資料真被回傳。外鍵約束導致刪除失敗時,下一條 payload 自動加 SET GLOBAL FOREIGN_KEY_CHECKS=0 修復——需理解失敗原因而非無腦重試。

04

JADEPUFFER 事件後如何防護?六步落地操作指南

依據 Sysdig 官方防禦建議與事件 IOC,團隊可立即執行以下步驟:

01

升級 Langflow:立即升級至修復 CVE-2025-3248 的 1.3.0+不要把程式碼執行/校驗類端點暴露在公網

02

密鑰與憑證隔離:勿在 AI 編排伺服器環境變數存放大模型 API Key 或雲端憑證,託管至 KMS 並與公網程序隔離。

03

加固 Nacos:更換預設 token.secret.key,升級強制自訂密鑰版本,永不暴露 Nacos 於公網,禁止 root 連線後端庫。

04

資料庫存取控制:管理員帳號不暴露公網,管理連接埠強唯一憑證 + 來源 IP 限制。

05

出站流量控制:限制遭入侵主機任意信標外聯或存取外部暫存伺服器(如 45.131.66[.]106、64.20.53[.]230)。

06

執行時偵測與 IOC 監控:識別資料庫程序惡意行為;監控 crontab 外聯、異常 User-Agent。Agent 開發/測試環境隔離詳見 說明中心

偵測機會:LLM payload 中充斥自然語言註解解釋「為什麼」——這種「自我敘事」是防守方此前不曾有過的偵測抓手。

05

四條自主性證據、比特幣懸案、IOC 與 Sysdig 結論

Sysdig 支撐「LLM 驅動」的四條獨立證據線:

1

自我敘事的程式碼:payload 裡大量自然語言註解解釋 ROI 排序、哪個資料庫最大——LLM 程式碼產生預設行為,非研究人員事後推斷。

2

機器速度故障診斷:Nacos 31 秒修復、MinIO XML/JSON 自適應、JWT 路徑遇阻即放棄——做錯之後多快、以何方式糾正是最精確證據。

3

自然語言上下文理解:解析目標環境自由文本並採取「只有讀懂才會做」的動作,數週不同工作階段反覆出現。

4

比特幣位址懸案:勒索位址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是 Bitcoin Core 文件標準 P2SH 範例位址,大量存在於 LLM 訓練語料;鏈上 737 筆交易、約 46 BTC 流入後即刻轉走。可能是 LLM「幻覺」產生,也可能是攻擊者刻意設定——兩種可能均無法排除

IOC 類型指標
C2 / 信標45.131.66[.]106,crontab → hxxp://45.131.66[.]106:4444/beacon
資料暫存64.20.53[.]230(InterServer,AS19318)
入口漏洞CVE-2025-3248
勒索比特幣3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
聯絡信箱e78393397[@]proton[.]me(威脅情報庫無先例)
勒索表名README_RANSOM(與 WARNING/RECOVER_YOUR_DATA 等均不匹配)

產業反應:BleepingComputer、Dark Reading 等稱「首例完全 AI 驅動勒索」;CSO Online 採訪紅隊專家 Vibhum Dubey:更應擔心加密前「安靜期」——Agent 摸清身分體系同時規避偵測,每次入侵表現形式可能略有不同。多家媒體提及 LLMjacking:若攻擊者靠竊取憑證驅動 Agent,多階段攻擊邊際成本趨近於零

A

CVSS 9.8 + EPSS 91.42%:CVE-2025-3248 為長期被掃高危入口(NVD / SentinelOne)。

B

600+ payload:壓縮窗口內連貫執行,規模與一致性指向自主 Agent 而非固定工具集。

C

1,342 條設定加密 + 密鑰不可恢復:即便付款,受害者設定資料已實質性永久遺失。

Sysdig 四點結論:① 勒索門檻降至「執行一個 Agent 的成本」;② 老漏洞被自動化武器化,「把整個歷史漏洞庫挨個噴一遍」成本近零;③ LLM 自我敘事給防守方可讀偵測面;④ 「已備份」只是 Agent 程式碼註解自述,未經核實。

攤開替代方案:在公網裸奔 Langflow/Nacos 做 Agent 原型驗證 等於把 API Key 與內網拓撲交給掃描器;本地筆電 7×24 跑自主 Agent 難以實施出站控制與執行時偵測;虛擬機跑 macOS Agent 編排 違反 EULA 且 Metal 效能受限。對需要 iOS CI/CD、完整 Root、隔離測試環境與 7×24 穩定性的 AI Agent 生產與紅隊仿真KVMNODE 獨占 Mac Mini M4 雲端租用通常是更優解:100% 原裝實體機、開放 sudo、按天/週/月彈性,Agent 工作流可在與生產網路隔離的環境中稽核執行。詳見 定價頁,部署疑難可至 說明中心,下單走 訂購入口。JADEPUFFER 警示:技能門檻已降到執行 Agent 的成本——防守方應把公網應用伺服器、未加固設定中心、公網可達資料庫管理員帳號當作最先會被盯上的攻擊面

參考信源:Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs;Trend Micro CVE-2025-3248 / Flodrix 分析;NVD、CISA KEV 目錄。