【号称首款AI自主勒索攻击 幕后仍依赖人工参与】近日,云安全企业Sysdig的研究人员称,他们记录到首例已知的自主智能体勒索软件攻击。该勒索攻击行动代号为“JadePuffer”,整场真实网络攻击的全流程技术操作均由AI智能体完成,而非人类。该智能体入侵存在漏洞的服务器、窃取凭证、横向渗透目标内网、加密文件,甚至自行生成勒索信,途中遇到阻碍时还能像真人黑客一样灵活应对。相关报道称此次攻击全程“无人监管”,“没有人类操作键盘”。
但这并非完整事实。Sysdig威胁研究高级总监Michael Clark接受CyberScoop采访时澄清,人类依旧深度参与其中,只是不负责具体技术执行环节。 Clark表示:“整套攻击行动由人类搭建、定向部署,配套基础设施、命令控制服务器、存放窃取数据的中转服务器均由人工配置,受害者目标也是人为选定。”他还补充,入侵受害者数据库所用的账号凭证并非AI智能体自行搜集,而是有人通过前期入侵提前获取,再提供给这套攻击程序。
以上细节并不推翻Sysdig最初的结论,此次攻击的技术细节本身仍极具研究价值,甚至称得上突破式攻击手段。该智能体借助热门大模型应用开源工具Langflow的已知漏洞完成入侵,随后渗透至线上MySQL生产服务器,并利用另一处公开漏洞获取管理员权限。它加密了1300余条配置记录,不仅自动生成勒索文件,还附上用于赎金收款的比特币地址。Sysdig暂未披露本次攻击的受害方身份。
整套攻击所用技术手段其实并无特别新奇之处,真正引人注目的是其执行速度与全程可追溯的操作记录。一次登录失败后,该智能体仅用31秒就完成修复,全过程还以自然语言代码注释的形式,实时记录自身的判断逻辑。
曾有一处细节让人产生误解,如今官方已作出解释。Clark此前在接受CyberScoop采访时表示,Sysdig团队在此次攻击中发现攻击者使用了多款大模型,现场查获的密钥涵盖OpenAI、Anthropic、Deepseek以及谷歌Gemini。这番表述一度让人疑惑:入侵的不同环节是否分别依靠多款模型驱动。面对媒体追问,Clark向TechCrunch澄清,这些密钥只是智能体窃取到的战利品,并非攻击行为所依赖的运算模型。
他在邮件中说明:“该智能体在Langflow主机中全盘检索各类高价值信息,包括各厂商接口密钥、云服务凭证、加密货币钱包以及数据库配置文件,上述各大AI厂商密钥只是窃取所得的一部分。这些密钥只能说明攻击者认为其具备盗取价值,无法判定真正负责决策运算的是哪一款大模型。”
至于实际驱动“JadePuffer”攻击程序的大模型,Clark表示Sysdig“无法确定支撑该智能体运行的具体模型”,也无从查看其系统提示词与配置参数。
结合这一背景,微软研究员Geoff McDonald数日前在领英上发表的观点值得重新审视。McDonald依据自身红队测试经验(头部顶尖大模型的安全防护机制十分可靠)推测,本次攻击采用的并非前沿闭源大模型,而是去除安全约束的开源权重模型。Sysdig发布的报告既无法证实该猜想,也不能予以推翻。
McDonald的推文还警示,如今勒索攻击的规模上限主要受攻击者资金预算制约,不再受人力限制,未来可能出现成千上万起攻击同步开展的局面。但这一担忧与Clark披露的情况存在一定出入。(毕竟每一次攻击都需要人工选定目标、搭建配套基础设施、提前获取数据库凭证,这至少会形成一道人力瓶颈。)
Clark向CyberScoop透露,无论真相如何,目前Sysdig尚未观测到该攻击程序针对其他受害者发动袭击,但鉴于运行这类AI智能体的成本极低,他预计此类攻击很快会扩散开来。
http://t.cn/AXo1bP49
