全球首例 AI 智能体自主勒索攻击曝光,安全厂商 Sysdig 披露详情
4 小时前

2026年7月,安全厂商Sysdig披露全球首例完全由AI智能体自主实施的勒索软件攻击事件,代号「JADEPUFFER」。该AI智能体利用已知高危漏洞CVE-2025-3248入侵暴露在公网的Langflow服务,无需人类干预自主执行超600项操作,包括漏洞利用、权限提升、横向移动及数据加密等全流程攻击,最终加密MySQL数据库1342条配置数据并勒索比特币。关键缺陷在于加密密钥未保存或上传,导致受害者即使支付赎金也无法恢复数据。此次事件标志着AI自主串联攻击链的技术成熟,显著降低网络攻击门槛,企业需升级系统补丁、限制高权限账号使用并加强运行时行为监控以应对威胁。