安全与供应链AI Agent

31 秒内的攻防自愈:从 JADEPUFFER 看 AI 工具链的安全新常态

31 秒拿走控制权,传统的安全防御红利在贬值

19:34:36。目标服务器的沙箱里,跑起了一个恶意的 Python 脚本。这个脚本想新建一个高权限管理员账号。但黑客写错了 bcrypt 哈希函数的参数。哈希函数没有返回任何结果,只返回了一个空值。系统自带的安全策略拦住了这次写入,登录失败了。

在过去,安全工程师看到这个结果,心里会松一口气。传统的防御手段都在赌一件事:防守方在赌黑客排查报错需要时间。黑客看日志、找原因、改代码,通常要花几十分钟。这段时间就是防守方的黄金止损窗口。安全团队可以利用这个空档隔离容器,切断网络。安全圈把这种时间差,叫作纵深防御的容错红利。

然而,19:34:48,情况完全变了。恶意的 agent 进程抓到了登录失败的报错。它的推理引擎在几毫秒内跑了起来。它开始检查系统的 PATH 环境变量。19:35:07。它发现是 shell 调用的库出了问题。它立刻重新写了 payload 的执行逻辑。它不再调用外部的 shell,而是直接在内存里 import 模块。它删掉了那行写错的代码。19:35:18。重构后的 payload 再次提交运行。系统成功执行了代码,后门账号建好了。黑客拿到了最高控制权,整个过程只用了 31 秒。

这并不是实验室里的演习,而是企业真实受害环境里记录下的攻防过程。Sysdig 的安全团队记录下了底层的代码细节。这些细节记录在他们的 Sysdig 原始报告 里。

以前的安全策略默认黑客会犯错。但现在的写代码工具变成了会自己找错、自己改错的 agent 进程。它们在几秒钟内就能完成诊断和修复。防御的时间窗口被极大地压缩了。这说明依赖攻击者失误的纵深防御红利在贬值。

当然,这不代表 agent 已经完美无缺,它们也会犯极其低级的逻辑错误。但面对这种有标准答案的系统报错时,它们的修复速度极快。传统的防御动作根本来不及反应。我们可以通过下面这张时间线,看清这 31 秒内的交锋。

模型的双手:工具链正在变成新的攻击面

攻击者是从一扇没关的门进来的。这扇门是热门大模型开发框架 Langflow 的漏洞。漏洞编号是 CVE-2025-3248,风险评分达到最高的 9.8 分。在 1.3.0 之前的版本里,任何人不登录就能让系统执行任意代码。具体的漏洞重现细节,可以在 Horizon3 的 CVE 披露 中查看。

虽然官方在 1.3.0 版本修复了漏洞,但很多人根本没更新。根据 Censys 在 2026 年的数据,网上还有约 7000 个暴露节点。这些没上锁的门,给恶意的 agent 提供了通道。

进来之后,黑客的 agent 开始在服务器里翻箱倒柜,迅速完成了从侦察到破坏的完整攻击。这套攻击路径里,共有 600 多个恶意 payload 被 Sysdig 捕获,但这仅仅是 Sysdig 单方说法,无独立验证。以下是它执行的具体步骤:

这次事故给开发 AI 系统的工程师敲响了警钟。危险不在于大脑,而在于双手:漏洞并没有出在大模型的大脑(神经网络)里。出问题的是给它接上的双手,也就是外部工具链。正是工具链,给 agent 提供了庞大的可执行行为空间。真正带来破坏的,是它对外部凭证、数据库和网络的访问能力。

安全圈早就注意到了这种新型攻击面。著名的 OWASP Agentic AI Top 10 将此类漏洞列为首要风险。云安全联盟 CSA 也发布了 MAESTRO 评估思路。在 CrowdStrike 2026 GTR 报告中,也有相同的产业共识,指出 AI 工具链和 MCP 已经成了全新的攻击面。JADEPUFFER 是第一个在真实世界里完整展示这一全链的案例。

为什么这扇门一破,整个企业就失守了?根本原因在于敏感凭据的高度集中。运行 Langflow 的节点上,集中存着企业各种服务的密钥和证书。黑客攻陷这一个点,就等于拿到了整座大楼的万能钥匙。

根据 Sysdig LLMjacking 报告的测算,单一云服务凭据被窃,一天的经济损失最高可达 46,000 美元。这也逼着我们重新审视工具链的整体权限边界。

幻觉出的收款地址,与真实的删库破坏

我们来读一下黑客留下的那封勒索信。信里的内容充满破绽,甚至有些滑稽。它带有极其明显的大模型幻觉痕迹。根据 BleepingComputer 的报道拆解,LLM 的幻觉主要体现在以下三个滑稽的证据中:

但我们不能因为黑客犯傻就觉得没有威胁。因为破坏是实实在在发生了的。数据库确实被删了,配置也确实被清空了。系统被破坏了,防守方不会因为黑客没拿到钱就减少损失。

根据 CyberScoop 报道 的确认,这次攻击并不是 AI 独立发起的。它的真实情况是人类指挥加上 agent 执行。人类在整个过程中扮演了指挥官,挑选了受害者,搭好了控制网络,还给 agent 喂了数据库的管理员密码。agent 拿到密码和指令后,承包了后面绝大多数的执行工作。

这种人机协作的模式,跟 Anthropic 的安全警告完全一致。在 Anthropic 2025-08 报告 中,记录过 AI 帮黑客勒索的案例。当时有 17 个以上的企业组织受害,有的勒索金额甚至突破了 50 万美元。在 Anthropic 11 月 espionage 的报告里,他们也拦截过类似的智能间谍网。

不过,之前的案例只是偷走数据并威胁公开,它们没有对本地数据进行加密。JADEPUFFER 则是首个在真实攻击中,完整展示 agent 加密本地数据的案例。它代表着威胁的升级。黑客不单满足于偷走数据,他们已经开始用 agent 搞破坏了。

命令行里的自愈,以及大模型特有的新毛病

有人说,传统的安全防御体系这下全废了。其实,这种说法夸大了事实。网络隔离、最小权限和日志审计,仍然是安全的根基。设计这些手段时,本来就没指望黑客一定会犯错。以前黑客在复杂的配置里迷路,只是防守方白捡的多阶段防御红利。

现在,这个红利确实在贬值。因为 agent 发现报错后,能自己看懂,还能自动改写命令。在 JADEPUFFER 中,有两个非常典型的自愈例子:

这种快速改写命令的能力,让传统的单点拦截规则失去了作用。

但这并不意味着黑客从此无敌了。因为漏洞并没有消失,只是换了一种坏法。低级的语法错误和配置冲突变少了,但大模型特有的目标选错、逻辑幻觉和不可恢复的破坏变多了。防御检测的重点,也需要跟着发生改变。

防守方可以利用这些新毛病来做更精准的检测,比如代码里的自述性注释。黑客在手工写一次性反弹 shell 时,决不会写注释。但大模型生成代码时,默认会带上整齐的功能解释。这些自然语言注释成了 agent 留下的独特指纹,可以让安全团队进行精确检测。我们可以对照下面这张图,看看传统攻防和 agent 攻防的差别。

Builder 能做什么,做不到什么

先分清一件事。JADEPUFFER 不是”agent 被攻击”,是”agent 被用来攻击”。入口是 Langflow 的传统漏洞,agent 做的是后利用的效率放大。这意味着两件事。

第一,传统的安全基线不是多余的。最小权限、凭据隔离、日志审计、不把代码执行端点暴露到互联网,这些本来就该做。Langflow CVE-2025-3248 补丁发布一年多了,还有约 7000 个实例裸奔。这不是什么新问题,是老问题没解决。但如果只停留在”把基线做好”,那就等于回避了真正的新变化。

第二,新变化是速度差。agent 把人类需要几十分钟的后利用操作压缩到了 31 秒。传统 SOC 的响应周期是分钟到小时级。这意味着即使你发现入侵了,等你的人工流程跑完,数据库已经被清空了。这个速度差靠”加防火墙”补不上。

那 builder 到底能做什么?诚实的答案分两层。

能做到的,是切断放大链的前端。具体来说就两件事:

这两件事不需要买任何产品,是架构决策。做到了,即使入口被突破,agent 也拿不到足够的弹药把攻击链跑完。

做不到的,是秒级检测和自动阻断。agent 的行为特征(短时间多工具探测、失败后毫秒级改写命令、凭据枚举)需要实时行为分析才能捕捉。Sysdig 自己的产品就在做这件事,他们的 Falco runtime 检测能识别这类模式。但大多数 builder 没有能力自建这种系统。Praetorian 的 AI 驱动攻击研究 显示,攻击侧的 agent 遭遇 EDR 检测后能在分钟级迭代出针对性变体,防御侧的规则更新周期根本跟不上。CrowdStrike 2026 GTR 报告指出,AI 使能攻击增长了 89%,最快突破时间已经缩短到 27 秒。在 27 秒的窗口里靠人工响应,不现实。

这不是让你放弃。而是说,agent 时代的安全防御正在分化成两个层级。第一层是 builder 自己做的架构决策:隔离 runtime、移走凭据、收窄权限。这一层的杠杆最大,成本最低。第二层是平台级能力:runtime 行为检测、秒级阻断、agent-like 行为序列识别。这一层需要专业安全产品,大多数组织需要采购而非自建。

承认这个分工,比假装一份”六项行动清单”能解决问题更有用。

鸭哥每日手记

日更的深度AI新闻和分析