桃子桃子快讯
返回首页
行业动态

智能体勒索软件借 Langflow 漏洞攻击数据库

Sysdig 报告名为「JadePuffer」的智能体勒索软件利用 Langflow 漏洞自动化执行数据库窃取与勒索。

2026.07.03 · 周五3 分钟阅读

Sysdig 威胁研究团队披露了一起以 AI 智能体为核心的勒索软件攻击案例。该恶意软件被命名为「JadePuffer」,利用 Langflow 中的一个远程代码执行漏洞(CVE-2025-3248)入侵受害者主机,随后驱动大模型智能体自动完成数据库发现、数据外泄与勒索谈判的全流程。这是公开报告中首批展示「智能体勒索软件」在野利用的案例之一,凸显了 AI Agent 框架在生产环境中暴露时的真实风险。

攻击链概览

根据 Sysdig 博客披露的信息,本次攻击的关键节点如下:

  • 初始入口:攻击者通过公网暴露的 Langflow 实例,利用 CVE-2025-3248 获得未授权远程代码执行权限。
  • 智能体加载:在失陷主机上启动一个由大模型驱动的 Agent 实例,作为后续自动化操作的「大脑」。
  • 侦察与外泄:Agent 自动扫描内网数据库、识别高价值数据并完成加密前的数据窃取。
  • 勒索交互:Agent 直接向受害者发出勒索信息,整个过程无需人类操作员持续介入。

漏洞与受影响组件

Langflow 是一个用于构建大模型工作流的开源可视化框架,支持用户通过拖拽方式接入 LLM、向量库与外部工具。本次被利用的漏洞编号为 CVE-2025-3248,属于高危级别的远程代码执行缺陷。该类框架通常以 Web 服务形式部署,一旦开放公网访问且未及时更新补丁,便成为攻击者的理想突破口。

安全启示

该案例的核心价值不在于勒索软件本身,而在于它展示了 AI Agent 自主执行多阶段攻击 的可行性:

  • 暴露面管理:任何承载智能体或 LLM 工作流的服务都应视为关键资产,避免直接暴露公网,并启用身份认证。
  • 及时打补丁:Langflow 等活跃迭代的开源项目需要建立组件清单与漏洞跟踪机制,关注官方安全公告。
  • 行为监控:Agent 在生产环境中执行的工具调用、Shell 命令与网络外联应纳入审计与告警范围。
  • 最小权限:智能体使用的数据库账号、API Key 等凭据应严格遵循最小权限原则,限制横向移动能力。

Sysdig 在报告中建议受影响用户尽快升级 Langflow 至已修复版本,并对曾暴露的实例进行日志排查与凭据轮换。随着 Agent 框架在企业内部署越来越普遍,针对智能体的攻防对抗预计将成为 AI 安全领域的新主线。

信源