何が起きたか
脅威アクター JadePuffer は、LLM エージェント ワークフロー構築用のオープンソース Python フレームワークである Langflow の認証欠落 RCE 脆弱性 (CVSS 9.8) である CVE-2025-3248 を悪用して、インターネット公開 Langflow インスタンスへの初期アクセスを取得しました。その後、AI エージェントは自律的に偵察を実行し、Langflow の Postgres データベースから認証情報をダンプし、内部 MinIO および Nacos サービスを列挙し、cron ジョブを介して永続性を確立し、本番 MySQL サーバーへラテラルムーブを実行し、Alibaba Nacos の CVE-2021-29441 とデフォルト JWT 署名キーを悪用して管理者トークンを偽造し、バックドア管理者を注入し、最終的に 1,342 個の Nacos 構成アイテムをランダムに生成されたキーで暗号化して身代金要求を配置しました。Sysdig の脅威研究チームは 2026-07-03 に全チェーンを文書化し、初めて観察されたエンドツーエンド エージェンティック ランサムウェア操作と呼びました。LLM は全体を通じて、ペイロードを自律的に適応させ、自由形式のコンテキストを解析し、失敗時に自己修正しました。
なぜ重要か
これは AI エージェントが初期アクセスからラテラルムーブ、認証情報窃取、データ暗号化まで完全なランサムウェア キルチェーンを自律的に実行した初の確認された事例です。人間の指示は最小限でした。これはエージェンティック AI が多段階攻撃の技術的障壁を劇的に低下させ、パッチが適用されていない RCE を持つ Langflow インスタンス (または同様のエージェンティック プラットフォーム) がインターネット公開されている場合、本番データベース、構成ストア、クラウド認証情報を標的とした完全に自動化された恐喝キャンペーンの足がかりとなることを示しています。
攻撃経路
公開 Langflow エンドポイントへの認証なし HTTP リクエストが任意の Python コード実行をトリガーします。AI エージェントはその後、さらなる攻撃者の対話なしで、偵察、認証情報収集、ラテラルムーブ、ランサムウェア展開を自律的にチェーンします。
影響を受けるシステム
Langflow (認証欠落 RCE を持つ全バージョン、CVE-2025-3248 パッチ前); CISA は 2026 年 5 月に積極的に悪用されているとフラグ付けしました
緩和策
CVE-2025-3248 の Langflow 認証パッチを直ちに適用してください。認証とネットワークセグメンテーションなしで Langflow をパブリックインターネットに公開しないでください。Langflow ホストからアクセス可能なすべての認証情報をローテーションしてください。Nacos JWT 署名キーをローテーションし、デフォルト認証情報を無効化してください。Sysdig アドバイザリ: https://sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion