“第一次”人工智能运行的勒索软件攻击仍然需要人类

上周,云安全公司Sysdig的研究人员表示,他们记录了第一个已知的“代理勒索软件”案例。这是一次名为JadePuffer的勒索行动,其中由人工智能代理(而不是人类)从头到尾处理现实世界网络攻击的技术执行。该代理闯入易受攻击的服务器,窃取凭据,通过目标网络移动,加密文件,甚至编写自己的勒索信,像人类黑客一样适应沿途的障碍。对这笔资金的报道称其运行“没有任何人为监督”,“没有人在键盘上操作”。
这还不是全部。在周一接受CyberScoop采访时,Sysdig的威胁研究高级总监Michael Clark澄清说,人类仍然在很大程度上参与其中,只是不参与技术执行。克拉克说:“仍然有人设置并指示操作并配置其背后的基础设施、命令和控制服务器、用于被盗数据的临时服务器并选择受害者。”他补充说,用于闯入受害者数据库的凭据并不是由人工智能代理本身获取的;而是由人工智能代理获取的。有人通过事先妥协单独获得了它们,并将它们交给了该行动。
这些都与Sysdig最初的主张并不矛盾,而且攻击的技术细节本身仍然值得注意——甚至是疯狂的。该代理通过Langflow(一种用于构建LLM应用程序的主流开源工具)中的一个已知错误进入,然后转移到生产MySQL服务器并利用另一个已知缺陷来获得管理员访问权限。它加密了1,300多个配置记录,不仅留下了自己编写的勒索字条,还留下了可以发送赎金的比特币地址。 Sysdig尚未透露谁是攻击目标。
这些技术显然相当普通,突出的是所涉及的速度和透明度。该代理在31秒内修复了登录失败的问题,并全程用自然语言代码注释叙述了自己的推理。
最初似乎使情况变得混乱的一个细节后来得到了澄清。 Clark告诉CyberScoop,Sysdig发现“攻击中使用了多个模型”,并引用了OpenAI、Anthropic、DeepSeek和Gemini获取的密钥——这些语言留下了多个模型是否主动为入侵的不同阶段提供动力的问题。当被要求澄清时,克拉克告诉TechCrunch,这些钥匙只是特工窃取的东西的一部分,而不是驱动它的证据。
“特工在Langflow主机上搜查了任何有价值的东西——提供商API密钥、云凭证、加密货币钱包和数据库配置——而这些提供商密钥就是赃物的一部分,”他通过电子邮件说道。 “它们表明了攻击者认为值得采取的措施,但它们没有告诉我们哪个模型正在做出决定。”
对于实际运行JadePuffer的模型,Clark表示Sysdig“无法识别驱动代理的特定模型”,并且无法了解其系统提示或配置。
Microsoft研究员Geoff McDonald几天前在LinkedIn上提出的理论从这个角度来看值得重新审视。麦克唐纳怀疑这次攻击是由一个被剥夺了安全训练的开放权重模型而不是前沿模型造成的,因为他自己的红队经验表明前沿实验室的安全层保持良好。 Sysdig自己的帐户并未证实或排除这一点。
麦克唐纳的帖子还警告说,勒索软件活动现在主要受到攻击者预算的限制,而不是人为的努力,这增加了“数千或数万个同时活动”的可能性。这种担忧与克拉克周一的描述有点难以相符。 (如果人类仍然必须选择每个受害者、配置基础设施并为每个操作获取数据库凭据,那么这至少是一个瓶颈。)
不管怎样,克拉克告诉CyberScoop,虽然Sysdig还没有看到同样的行动袭击其他受害者,但考虑到运行代理的成本有多低,他预计这种情况会改变。