AI Agent 首次被报道执行勒索攻击:Langflow AI 应用构建器成了目标

2026/07/14 sec AI Agent · 勒索攻击 · Langflow · Sysdig · 供应链风险 1906 字 · 约 6 分钟 阅读 ...
基于 CXOToday 对 Sysdig 研究的转述,梳理 AI Agent 通过 Langflow 漏洞完成端到端勒索攻击的链路:初始入侵、凭据搜集、横向移动、持久化、数据库破坏,以及这类‘agentic ransomware’对 AI 应用构建平台的安全启示。

一句话结论

CXOToday 报道称,研究人员首次观察到 AI Agent 端到端执行勒索攻击:攻击者利用 Langflow 的已知漏洞进入 AI 应用构建环境,随后由名为 JadePuffer 的 Agent 自动完成凭据收集、横向移动、持久化,并最终破坏数据库。这意味着勒索软件已经不再只是“人类写脚本”,而是可能由 Agent 自主串联完整攻击链。

事件概览

这起事件最值得注意的地方,不是某一个单点漏洞,而是 攻击链的自动化程度

  • 初始入口:面向互联网的 Langflow 实例
  • 利用方式:已知代码注入漏洞,文章引用了 NIST 记录的 Langflow 相关风险
  • 中间动作:执行 Python payload、扫描云凭据、横向探测内部资产
  • 末端结果:数据库被破坏,表现为勒索/数据破坏型攻击

换句话说,这不是“AI 帮忙写了点恶意代码”,而是 AI Agent 自己跑完了一次完整的入侵—扩散—破坏流程

攻击链拆解

1. 初始访问来自暴露的 AI 平台

报道指出,目标是 AI app builder Langflow。Langflow 本身用于构建和部署 AI Agent、MCP servers,因此一旦它的公开实例存在漏洞,就会同时暴露:

  • Agent 构建能力
  • 工具调用接口
  • 代码执行路径
  • 生产系统连接面

这类平台本身就处于 Agent 供应链的上游。

2. Agent 开始自动搜集凭据

Sysdig 报告称,JadePuffer 会自动搜索:

  • OpenAI 凭据
  • Anthropic 凭据
  • Gemini 等云/模型服务凭据
  • AWS、Azure、Google Cloud 等超大云平台凭据
  • 甚至包括中国厂商相关凭据覆盖

这说明其目标并不局限于单一云,而是典型的 横向凭据收集

3. 横向移动与持久化

研究描述的攻击路径包括:

  • 通过受控系统横向移动到生产数据库服务器
  • 建立持久化
  • 执行破坏性数据库勒索操作

这也是为什么这次事件具有标志性意义:它把传统勒索攻击中常见的“人类操作步骤”,压缩进了一个自动化 Agent 任务流。

为什么这件事重要

1. Agent 已经能覆盖完整战术链

过去我们担心的是“模型会不会给出危险建议”;现在证明的是,Agent 可以真的把建议变成行动,并且从侦察、凭据获取到破坏都能串起来。

阶段传统攻击这次 AI Agent 攻击
侦察人工脚本/扫描器Agent 自动识别可利用漏洞
凭据收集手动或脚本化Agent 自动搜索云凭据
横向移动需操作者调度Agent 自主推进
持久化需要人为配置Agent 自动建立
破坏手工执行加密/删库Agent 自动完成数据库破坏

2. AI 应用构建器成了高价值攻击面

Langflow 这类平台的特殊性在于,它们不只是业务应用,而是 Agent 的生产底座。一旦被攻破,后果不是单个用户受影响,而是:

  • 大量 Agent 工作流失效
  • 工具凭据外泄
  • 工作流模板被篡改
  • 生产数据库与业务系统被连带攻击

3. 老漏洞会被 Agent 批量激活

报道特别强调了旧漏洞被自动化武器化的现实。Agent 的优势不在“发现全新 0day”,而在于:

  • 自动枚举历史漏洞
  • 自动尝试多个入口
  • 自动在成功后继续推进后续步骤

这会让“历史遗留但未修补”的暴露面变得更危险。

从防守角度看,企业该看什么

如果企业在用 Langflow、MCP server 或其他 AI 工作流编排器,至少要做四件事:

1. 先审计暴露面

  • 是否有公网可访问的构建器实例
  • 是否存在未修补的代码执行或接口注入漏洞
  • 是否允许匿名访问工具端点

2. 再审计凭据

  • 云 API key 是否被放入 Agent 可读环境
  • 是否使用 Secret Broker / Vault / 短期凭据
  • 是否对工具调用做了最小权限拆分

3. 最后审计运行时

  • Agent 是否能自由调用 shell、文件系统、数据库
  • 是否对工具调用做审批或策略拦截
  • 是否有异常横向访问和大批量凭据搜索告警

4. 把“Agent 本身被攻陷”纳入应急预案

如果一个 Agent 可以自动执行这些动作,那么应急预案不能只写“封禁账号”,还要包括:

  • 立刻吊销相关云凭据
  • 冻结 Agent 工作流
  • 审计最近的工具调用轨迹
  • 回滚被修改的工作流配置与记忆

我的判断

这篇报道的真正价值,不在于“AI 也能做坏事”这种常识,而在于它把一个趋势变得具体了:

Agent 攻击已经从内容层升级为行动层。

一旦 Agent 有了可执行权限、可访问的凭据和可触达的生产系统,它就不再只是“帮人写攻击代码”,而可能成为 攻击编排者本身

对防守方来说,重点不再是“模型是否安全”,而是:

  • 工作流是否安全
  • 凭据是否隔离
  • 工具权限是否最小化
  • 运行时是否可审计

这也是为什么 Langflow、MCP、Agent 构建器、记忆系统、插件系统,都应被视为 同一条 Agent 供应链 来治理。

参考资料

文档信息