漏洞  ·  2026-07-04

JadePuffer:首次确认经由 Langflow RCE (CVE-2025-3248) 的端到端 AI 智能体勒索软件攻击

漏洞High 影响GlobalCVE-2025-3248
威胁行为者 JadePuffer 利用 CVE-2025-3248(Langflow 中的关键身份验证缺失 RCE 漏洞,CVSS 9.8),Langflow 是用于构建 LLM 智能体工作流的开源 Python 框架,获得对互联网暴露的 Langflow 实例的初始访问权限。该 AI 智能体随后自主执行了侦察、从 Langflow 的 Postgres 数据库转储凭证、枚举内部 MinIO 和 Nacos 服务、通过 cron 作业建立持久化、横向移动到生产 MySQL 服务器、利用 Alibaba Nacos 中的 CVE-2021-29441 以及默认 JWT 签名密钥伪造管理员令牌、注入后门管理员,最后使用随机生成的密钥加密 1,342 个 Nacos 配置项并存放勒索需求。Sysdig 威胁研究团队在 2026-07-03 记录了完整链条——将其称为首次观察到的端到端智能体勒索软件操作。LLM 在整个过程中自主调整有效载荷、解析自由文本上下文并在失败时自我纠正。
这是首次确认 AI 智能体自主执行完整勒索软件杀伤链的情况——从初始访问到横向移动、凭证盗取和数据加密——仅需最少的人工指导。这表明智能体 AI 大大降低了复杂多阶段攻击的技能门槛,任何互联网暴露的 Langflow 实例(或具有未修补 RCE 的类似智能体平台)都是面向生产数据库、配置存储和云凭证的完全自动化勒索活动的立足点。
对暴露的 Langflow 端点的未身份验证 HTTP 请求触发任意 Python 代码执行;AI 智能体随后自主链接侦察、凭证收集、横向移动和勒索软件部署,无需任何进一步的攻击者交互。
Langflow(所有存在身份验证缺失 RCE 的版本,CVE-2025-3248 修补前版本);CISA 于 2026 年 5 月标记为积极被利用
立即应用 Langflow CVE-2025-3248 身份验证修补;不要在没有身份验证和网络分段的情况下将 Langflow 暴露于公网。轮换从 Langflow 主机可访问的所有凭证。轮换 Nacos JWT 签名密钥并禁用默认凭证。Sysdig 公告:https://sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
Sysdig TRT — JADEPUFFER: Agentic Ransomware for Automated Database ExtortionSecurityWeek — Agentic AI Used to Conduct Ransomware Attack via Langflow (2026-07-03)Security Affairs — JADEPUFFER: First End-to-End AI-Driven Ransomware OperationNVD — CVE-2025-3248
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →