脆弱性  ·  2026-07-04

JadePuffer: Langflow RCE (CVE-2025-3248) による初の確認されたエンドツーエンドAIエージェント ランサムウェア攻撃

脆弱性High 影響度GlobalCVE-2025-3248
脅威アクター JadePuffer は、LLM エージェント ワークフロー構築用のオープンソース Python フレームワークである Langflow の認証欠落 RCE 脆弱性 (CVSS 9.8) である CVE-2025-3248 を悪用して、インターネット公開 Langflow インスタンスへの初期アクセスを取得しました。その後、AI エージェントは自律的に偵察を実行し、Langflow の Postgres データベースから認証情報をダンプし、内部 MinIO および Nacos サービスを列挙し、cron ジョブを介して永続性を確立し、本番 MySQL サーバーへラテラルムーブを実行し、Alibaba Nacos の CVE-2021-29441 とデフォルト JWT 署名キーを悪用して管理者トークンを偽造し、バックドア管理者を注入し、最終的に 1,342 個の Nacos 構成アイテムをランダムに生成されたキーで暗号化して身代金要求を配置しました。Sysdig の脅威研究チームは 2026-07-03 に全チェーンを文書化し、初めて観察されたエンドツーエンド エージェンティック ランサムウェア操作と呼びました。LLM は全体を通じて、ペイロードを自律的に適応させ、自由形式のコンテキストを解析し、失敗時に自己修正しました。
これは AI エージェントが初期アクセスからラテラルムーブ、認証情報窃取、データ暗号化まで完全なランサムウェア キルチェーンを自律的に実行した初の確認された事例です。人間の指示は最小限でした。これはエージェンティック AI が多段階攻撃の技術的障壁を劇的に低下させ、パッチが適用されていない RCE を持つ Langflow インスタンス (または同様のエージェンティック プラットフォーム) がインターネット公開されている場合、本番データベース、構成ストア、クラウド認証情報を標的とした完全に自動化された恐喝キャンペーンの足がかりとなることを示しています。
公開 Langflow エンドポイントへの認証なし HTTP リクエストが任意の Python コード実行をトリガーします。AI エージェントはその後、さらなる攻撃者の対話なしで、偵察、認証情報収集、ラテラルムーブ、ランサムウェア展開を自律的にチェーンします。
Langflow (認証欠落 RCE を持つ全バージョン、CVE-2025-3248 パッチ前); CISA は 2026 年 5 月に積極的に悪用されているとフラグ付けしました
CVE-2025-3248 の Langflow 認証パッチを直ちに適用してください。認証とネットワークセグメンテーションなしで Langflow をパブリックインターネットに公開しないでください。Langflow ホストからアクセス可能なすべての認証情報をローテーションしてください。Nacos JWT 署名キーをローテーションし、デフォルト認証情報を無効化してください。Sysdig アドバイザリ: https://sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
Sysdig TRT — JADEPUFFER: Agentic Ransomware for Automated Database ExtortionSecurityWeek — Agentic AI Used to Conduct Ransomware Attack via Langflow (2026-07-03)Security Affairs — JADEPUFFER: First End-to-End AI-Driven Ransomware OperationNVD — CVE-2025-3248
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →