返回

文章详情

‘首个’ AI 驱动的勒索软件攻击仍然需要人类

TechCrunch2026年7月6日 23:56

上周,云安全公司 Sysdig 的研究人员表示,他们记录了已知的首例“代理勒索软件”案例。这是一项名为 JadePuffer 的敲诈行动,其中一名 AI 代理——而不是人类——从头到尾处理了一次现实世界网络攻击的技术执行。该代理侵入了一个脆弱的服务器,窃取凭证,通过目标的网络移动,加密文件,甚至撰写了自己的勒索信,像人类黑客一样适应过程中遇到的障碍。关于资金的报道描述它是在“没有任何人类监督”的情况下运行的,且“没有人在键盘上”。但这并不完全正确。在周一与 CyberScoop 的采访中,Sysdig 的威胁研究高级总监 Michael Clark 解释说,仍然有一个人类参与——只是没有参与技术执行。“一个人类仍然设置并指明了操作,并提供了其背后的基础设施,包括指挥控制服务器、用于被盗数据的临时服务器,并选择了受害者。” Clark 说。他补充说,侵入受害者数据库所使用的凭证并不是由 AI 代理本身收集的;有人通过先前的漏洞单独获得了这些凭证,并将其交给了操作。所有这些都与 Sysdig 的最初声明不矛盾,攻击的技术细节本身仍然值得注意——甚至是狂野的。该代理通过 Langflow 的一个已知漏洞进入,该工具是一个流行的开源 LLm 应用程序构建工具,然后转到生产 MySQL 服务器并利用另一个已知缺陷获取管理员访问权限。它加密了超过 1300 个配置记录,并不仅留下了一封自己撰写的勒索信,还留下了一个比特币地址,用于发送赎金。Sysdig 尚未披露被攻击者的身份。所用技术显得相当普通,突出的是所涉及的速度和透明度。该代理在 31 秒内修复了一个失败的登录,整个过程中用自然语言代码注释叙述了自己的推理。起初似乎模糊画面的一个细节已经得到澄清。Clark 曾告诉 CyberScoop,Sysdig 发现“攻击中使用了多个模型”,并引用了 OpenAI、Anthropic、DeepSeek 和 Gemini 的被盗密钥——这种表述让人无法明确是否几个模型在不同阶段的入侵中发挥了推动作用。当被要求澄清时,Clark 告诉 TechCrunch,那些密钥仅仅是代理窃取物品的一部分,并不是驱动其操作的证据。“该代理扫荡了 Langflow 主机,寻找任何有价值的东西——供应商 API 密钥、云凭证、加密货币钱包和数据库配置——而这些供应商密钥是战利品的一部分。”他通过电子邮件说。“它们表明攻击者认为值得盗取的东西,但并不能告诉我们哪个模型在做决定。”关于实际运行 JadePuffer 的模型,Clark 说 Sysdig “未能确定驱动代理的特定模型”,并且对其系统提示或配置没有可见性。微软研究员 Geoff McDonald 最近在 LinkedIn 上提出的理论值得重新思考。McDonald 怀疑攻击背后是一个去除了安全训练的开放权重模型,而不是前沿模型,因为他的红队经验表明前沿实验室的安全层保持得很好。Sysdig 自身的报告并没有证实或否定这一点。McDonald 的帖子还警告,勒索软件攻击现在主要受攻击者预算的限制,而不是人类努力,这提高了“成千上万或数万同时攻击的可能性”。这个担忧与 Clark 周一描述的情况有些难以协调。(如果人类仍然必须为每次操作选择每个受害者,提供基础设施,并获取数据库凭证,那就有点成了瓶颈,至少。)不管怎样,Clark 告诉 CyberScoop,尽管 Sysdig 尚未看到相同的操作袭击其他受害者,但考虑到运行一个代理的成本很低,他预计这种情况将会改变。当您通过我们文章中的链接进行购买时,我们可能会获得一小笔佣金。这不会影响我们的编辑独立性。Loizos 自 90 年代末加入原始的《红鲱鱼》杂志以来,一直在报道硅谷。曾担任 TechCrunch 的硅谷编辑,她于 2023 年 9 月被任命为 TechCrunch 的主编和总经理。她还是 StrictlyVC 的创始人,这是一个每日电子通讯和讲座系列,于 2023 年 8 月被雅虎收购,现在作为 TechCrunch 的子品牌运营。您可以通过发送电子邮件至 connie@strictlyvc.com 或 connie@techcrunch.com 联系或验证 Connie 的联系,或通过 Signal 上的加密消息在 ConnieLoizos.53 上联系。查看个人资料

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡