上周,云安全公司Sysdig的研究人员宣布,他们记录了首个已知的“自主代理勒索软件”案例。该勒索行动名为JadePuffer,整个技术执行过程由AI代理完成——从入侵易受攻击的服务器、窃取凭证、横向移动到目标网络、加密文件,甚至撰写勒索信,且能像人类黑客一样应对各种障碍。相关报道称此操作“完全无人监管”,没有“人类在键盘前”。

但事实并非如此完整。Sysdig高级威胁研究总监Michael Clark在周一接受CyberScoop采访时澄清,虽然技术执行由AI完成,但仍有人工参与。“人类负责设定和指挥行动,搭建背后的基础设施,包括指挥控制服务器、用于存储被盗数据的中转服务器,并选择攻击目标。”Clark补充说,入侵所用的凭证并非AI代理自行获取,而是通过先前的安全漏洞由人类单独获得并提供给行动团队。

这些细节并不否定Sysdig最初的说法,且攻击的技术细节本身仍极具意义且惊人。该代理利用了Langflow(一款流行的开源大型语言模型应用构建工具)中的已知漏洞入侵,随后攻击了生产环境中的MySQL服务器,利用另一个漏洞获得管理员权限。它加密了1300多条配置记录,不仅留下了自己撰写的勒索信,还附带了比特币地址以便支付赎金。Sysdig未透露受害者身份。

虽然攻击手法较为常见,令人印象深刻的是其速度和透明度。代理在31秒内修复了一次登录失败,并全程用自然语言代码注释解释其推理过程。

此前一度令人困惑的细节也得到了澄清。Clark曾向CyberScoop表示,攻击中“使用了多个模型”,并提及窃取了OpenAI、Anthropic、DeepSeek和Gemini的API密钥,这让人怀疑是否多个模型分别驱动了攻击的不同阶段。Clark后来向TechCrunch解释,这些密钥只是代理窃取的战利品,而非其决策依据。

“代理扫描了Langflow主机上的所有有价值信息——提供商API密钥、云凭证、加密货币钱包和数据库配置,这些提供商密钥只是被窃取的物品之一,”他通过邮件表示,“它们反映了攻击者认为有价值的目标,但并不能告诉我们具体哪个模型在做决策。”

关于驱动JadePuffer的具体模型,Clark称Sysdig“未能识别具体模型”,也无法获知其系统提示或配置。

微软研究员Geoff McDonald几天前在LinkedIn上提出的观点值得重新关注。McDonald基于自身红队经验推测,攻击背后可能是一个去除安全训练的开源模型,而非最新的前沿模型,因为前沿实验室的安全机制通常较为完善。Sysdig的报告既未证实也未排除这一可能。

McDonald还警告称,勒索软件攻击的规模现在主要受攻击者预算限制,而非人力,这可能导致“成千上万的同时攻击活动”。但Clark周一的描述似乎与此观点存在差异。(如果每次攻击仍需人工选择目标、搭建基础设施并获取数据库凭证,这无疑是个瓶颈。)

无论如何,Clark告诉CyberScoop,尽管Sysdig尚未见到该攻击波及其他受害者,但鉴于运行AI代理的成本极低,他预计这种情况将会改变。