雲端安全公司 Sysdig 在 7 月 4 日披露的案例,可能是 2026 年資安圈最重要的轉折之一:JadePuffer 勒索行動中,研究員相信整條攻擊鏈——從偵察、竊取憑證、橫向移動、建立持久化、權限提升,到最終加密資料——主要由一個 大型語言模型 代理自主完成,而非人類操作者逐步手動下指令。Sysdig 把這類對手稱為 ATA(agentic threat actor):門檻不再是「會不會寫 exploit」,而是「會不會架一個能自己試錯的 AI 代理」。
這與我們在企業端推廣的 Codex、Claude Code、自動化 網路安全 紅隊形成詭異鏡像:同一套「規劃→工具呼叫→根據錯誤調整」的代理迴圈,正在攻擊面那一側量產。
攻擊是怎麼發生的
根據 Sysdig 公開的技術敘述,入侵起點是 CVE-2025-3248 程式碼執行漏洞。取得執行權後,代理依序:
- 傾印 Langflow 所連 PostgreSQL 資料庫內容;
- 收集主機資訊、環境變數與敏感檔案;
- 枚舉 MinIO 物件儲存;
- 在 Langflow 伺服器上建立持久化;
- 探測容器逃逸路徑並部署勒索載荷。
最終,代理以 MySQL 的 AES_ENCRYPT() 加密 1,342 筆 Nacos 服務設定,刪除原始 config_info 與歷史表,並建立名為 README_RANSOM 的勒索表,內含勒索說明、比特幣地址與 Proton Mail 聯絡方式。
研究員指出的「非人類」特徵包括:
- 生成程式碼裡帶有自然語言註解,解釋下一步操作理由(像開發者留給自己的筆記,卻出現在攻擊腳本中);
- 即時迭代:其中一段序列在登入失敗後,約 31 秒內調整參數並成功——不是盲目重試固定密碼表,而是依錯誤訊息修正策略。
Sysdig 結論直白:ATA 時代已經到來,發動高破壞性攻擊所需的傳統技能正在被代理自動化抹平。
值得補充的是技術堆疊的「熟悉感」:Langflow 是常見的 LLM 工作流編排平台,Nacos 在微服務架構裡負責設定與服務發現,MinIO 則是 S3 相容的物件儲存——這三件套在企業 AI 落地專案裡越來越普遍,也讓攻擊者不必從零摸索目標環境。代理若已「讀過」大量公開文件與漏洞 PoC,就能把 CVE-2025-3248 這類入口點快速接到企業最痛的資料層:不是偷走幾份 PDF,而是直接鎖死整個服務註冊中心的設定檔。對維運團隊而言,這意味著勒索的「爆炸半徑」從單一 VM 擴大到整條微服務鏈,復原時間不再只算解密,還得重建誰能連誰的服務拓撲。
為什麼這比「用 ChatGPT 寫勒索軟體」嚴重得多
過去兩年,資安界已習慣「攻擊者用 生成式 AI 生成釣魚信或腳本草稿」的故事。JadePuffer 不同之處在於閉環自主性:
| 模式 | 人類角色 | AI 角色 |
|---|---|---|
| AI 輔助寫碼 | 策劃、部署、決策 | 產生片段程式碼 |
| AI 輔助社工 | 選目標、發送 | 生成文案 |
| JadePuffer 型 ATA | 可能僅設定目標與初始入口 | 全程規劃與執行工具鏈 |
這與 Anthropic 在 Fable 5 危機中擔心的「高階模型協助漏洞利用」是同一光譜的不同端:企業買代理是為了自動修補與 SOC 提速,攻擊者買代理是為了自動加密與贖金談判前置。當 白宮正在談 CJS 越獄評分 時,JadePuffer 提供了一個地面真實案例:問題不只 frontier model 會不會教人造 exploit,而是 agent 會不會自己走完 exploit 鏈。
防禦方該更新的假設
企業若仍把 AI 威脅建模成「多了一種釣魚生成器」,JadePuffer 要求升級到代理層級:
1. 監控「代理型」行為指紋
短時間內大量工具呼叫、跨服務橫向移動、對設定中心(如 Nacos)的批量加密操作,應與傳統勒索 IOC 並列告警。單一 IP 的異常 API 序列可能比單一惡意檔 hash 更早預警。
2. 假設內部代理工具可被濫用或模仿
允許員工使用 coding agent 的環境,需與生產設定管理(Nacos、K8s ConfigMap 等)網路隔離;CVE 修補節奏對 Langflow 類 AI 工作流平台應等同核心業務系統。
3. 紅隊劇本要包含 ATA
不只測「模型會不會輸出惡意程式碼」,要測「若攻擊者部署自主代理,能否在無人值守下完成資料加密」。這與 Anthropic 補丁公告變攻擊說明書 的邏輯呼應:資訊公開與自動化攻擊速度同時加快。
4. 供應鏈與雲端預設設定
MinIO、Langflow、PostgreSQL 組合代表 AI 應用常見堆疊;JadePuffer 顯示攻擊者已熟悉這套架構的資料路徑。CISO 應把 MLOps/LLMOps 平台納入最高優先級漏洞管理。
與產業敘事的碰撞
7 月 4 日前後,媒體同時在談 OpenAI 5% 政府持股、Grok 4.5 私人測試、以及 Anthropic 的 Claude Science 科學工作台與內部製藥計畫。JadePuffer 提醒:代理能力普及的第一批「殺手級應用」,可能出現在犯罪軟體而非產品發布會。
監管討論若只聚焦 frontier model 出口與越獄評分,卻忽略已部署的中階代理在實戰中的自主攻擊力,會出現治理空白。反之,過度限制企業內部合法代理(修補、日誌分析),又會削弱防禦方與攻擊方之間本已不對稱的速度差。
資安廠商與保險業的下一輪問卷很可能會新增一類問題:貴司是否允許 AI 代理在生產環境擁有 shell、資料庫或設定中心的寫入權?若答案是「是」,對應的控管證據(審計日誌、人類批准閘門、網路分段)將成為續保與合規審查的標配。JadePuffer 未必代表每個勒索集團明天都能複製同等自主度,但它把「代理威脅」從紅隊假想變成可引用的 incident report——這會加速企業把 LLMOps 平台納入與 ERP、支付系統同級的變更管理。
你現在可以做的三件事
- 清查 AI 工作流平台(Langflow、自研 agent 編排)是否暴露於公網、是否已修 CVE-2025-3248 同類漏洞。
- 為設定中心與密鑰管理加上異常加密檢測——批量
AES_ENCRYPT或表刪除應觸發熔斷。 - 在代理採購政策中區分「人類在環」與「長時間自主」,對後者套用更嚴的網路分段與審計。
一句話:JadePuffer 沒有發明新加密演算法,它證明的是 代理式推理 已能當勒索營運的「全職操作員」——防禦 AI 代理戰,從今天起不能只防提示詞,要防一整條會自己改錯的攻擊鏈。
