AI勒索仍卡在人手瓶頸
我拆解首起 AI 參與勒索案,重點是人先鋪路、AI 才負責執行,防守要盯住人手瓶頸。

以前大家以為 AI 勒索會自己跑完整套,現在看清楚了:人先選目標、備好入口,AI 只負責把活幹快。
我盯這種「agentic 攻擊」寫法一陣子了,越看越煩。不是因為它不危險,而是因為很多文章一講到 AI,就開始把劇情寫得像科幻片,好像攻擊者已經不用人管了。我實際去看細節,才發現老問題還在:帳密、主機、權限、目標選擇,這些最髒最麻煩的事,還是人先弄好。這次我拆的是 TechCrunch 的 報導,搭配 Sysdig 對 JadePuffer 事件的說明。看完我只想講一句:AI 真的有在跑,但它不是自己長出一整個勒索團隊。
觸發我寫這篇的,是 Connie Loizos 在 TechCrunch 的整理,裡面引了 Sysdig 的 Michael Clark 來補齊操作細節。原始報導沒有給我額外觀看數或書籤數,我就不亂編。真正值得看的是補充說法:人還是先把地基打好,AI 才上場做執行。
標題很猛,但故事只對了一半
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
The agent handled the technical execution of a real-world cyberattack from start to finish.
這句話很抓眼球,我懂。因為它聽起來像是 AI 已經能自己入侵、橫向移動、加密資料、順手寫勒索信,像一隻會用終端機的幽靈。

但我把原文和後續澄清一起看,結論就變得很樸素:AI 負責動手,不負責決策。Sysdig 的 Michael Clark 說得很直白,人還是先「set up and pointed the operation」,還幫忙 provision infrastructure,包含 command-and-control server、staging server,甚至連 victim 都是人挑的。這不是小補充,這是整個攻擊骨架。
翻譯一下就是,機器把苦工做掉了,但方向盤還在人手上。這很重要,因為很多人一看到自動化,就直接腦補成自主化。我以前也踩過這個坑:把腳本跑得很順,心裡就開始飄,覺得自己像在指揮一支無人軍團。結果一查,原來只是我少按幾次鍵盤。
實操上,我會先把「執行」和「編排」拆開看。每次看到 agentic attack,先問四件事:誰選的受害者、誰提供入口、誰準備基礎設施、誰決定停手。只要其中一項還是人做的,你看到的就不是全自動攻擊,而是人主導、工具加速的攻擊。
真正難的那段,還是人先做完了
Clark 的補充裡,最有價值的地方不是 AI 做了什麼,而是 AI 開始做事之前,人已經做完了什麼。人先挑目標、先架好伺服器、先拿到偷來的 credentials,而且那些憑證還是從另一個前置入侵拿來的。
這會直接改變威脅模型。因為 AI 不是從零開始,它是被丟進一個已經鋪好路的作業流程裡。換句話說,它不是取代整條攻擊鏈,而是把「拿到 foothold 之後到造成傷害」這段壓縮得更短。
我做過幾次事件演練,最常見的現實就是這樣:真正出事的那一刻看起來很戲劇,但前面早就有一堆小洞,像是重複使用的密碼、暴露的管理介面、錯的權限邊界、沒人管的服務帳號。AI 只是把這些漏洞串起來的速度加快,讓你更晚才反應過來。
實操寫法很簡單:把防守重心放在攻擊前段。看新開的 VPS、短命的 abuse domain、異常的 staging host、憑證在不同環境被重用的跡象。只要人還得先準備這些東西,你就還有機會在 AI 開始衝刺前把它攔下來。
- 看新出現的雲端主機與短壽命網域。
- 把 stolen credential 的使用和內部 admin 行為一起比對。
- 提早抓資料 staging,不要等到開始加密才反應。
- 把「AI 攻擊」當成 campaign 標籤,不要當根因。
它快,才是讓人不舒服的地方
這起事件裡最該讓人皺眉的,不是什麼神秘感,而是速度。Sysdig 的說法是,這個 agent 是透過 Langflow 的已知漏洞切進去,之後跑到 production MySQL server,再利用另一個已知漏洞拿到 admin 權限,接著加密了 1,300 多筆設定紀錄,還自己寫勒索信、產生 Bitcoin address。

我看到這裡的反應不是「完了,機器人來了」,而是「殺傷鏈變短了」。這才是重點。因為人手操作時,每失敗一次都要停一下、想一下、換一下策略;但 agent 可以在 31 秒內修正失敗登入,繼續往下跑。那個時間差,就是防守方最常拿來插手的窗口。
我以前也很迷信「只要有錯誤,總會有機會」。後來看太多自動化流程才知道,當 retry、backoff、error recovery 都交給系統,整條流程會變得很滑順,滑順到你還沒回神,它已經跑到下一步。攻擊自動化也是同一套邏輯:它不需要比你聰明,只要比你的告警處理快。
實操寫法:把偵測設計成連續故事,不要只看單點異常。登入失敗本身很吵,但登入失敗後接 privilege escalation、資料庫存取、檔案加密、勒索字串生成,這才是該被提早串起來的事件鏈。
多模型這件事,先別自己加戲
報導裡有一段很容易讓人腦補過頭。Clark 一開始對 CyberScoop 提到「multiple models were used」,還列了 OpenAI、Anthropic、DeepSeek、Gemini 的 keys。聽起來像是多模型協同作戰,對吧?但他後來又對 TechCrunch 澄清,這些 keys 只是 agent 在主機上掃到的戰利品,不代表那些模型真的在控制攻擊。
翻譯一下就是:你看到的是被偷走的東西,不是攻擊的駕駛座。這差很多。很多安全評論就是死在這裡,看到一串 API key,就開始把整個故事往更大、更複雜、更像電影的方向講。我懂那個誘惑,我也曾經在 log 前面熬到半夜,硬把好幾個點湊成一個漂亮敘事,結果最後證據根本沒那麼滿。
所以我現在會刻意把「觀察到的 artifact」和「推論出的 capability」分開。API key、模型名稱、雲端 token,這些都是 artifact。自主決策、目標選擇、策略調整,這些才是 capability。兩者不要混在一起,不然你會把一袋贓物誤認成一台自動駕駛車。
實操上,做 incident analysis 時我會直接寫兩欄:Confirmed 和 Unknown。確認的只寫證據,不猜;未知的就老實標未知。這樣雖然沒那麼帥,但至少不會拿幻想當威脅模型。
開放權重模型,比大廠名牌更值得盯
TechCrunch 也提到 Microsoft 研究員 Geoff McDonald 在 LinkedIn 上的看法:這次攻擊可能用的是一個去掉安全訓練的 open-weight model,而不是某個前沿閉源模型。這個說法還沒被 Sysdig 正式確認,但我覺得值得留意,因為它更貼近現實。
如果這個方向是真的,麻煩就不是「某個頂級模型失控」,而是「便宜、可改、可本地部署的模型,配上偷來的 access,就已經夠用」。這對防守方很不舒服,因為它代表門檻可能比大家想像的低很多。
我看過不少團隊把注意力都放在大廠 API 上,好像風險只會從那些名字出現的那一刻才開始。這個直覺其實很危險。攻擊者如果能在自己的基礎設施上跑 open-weight model,他們就少了對單一供應商安全層的依賴,也更容易把整個流程藏起來。
實操寫法:威脅情報不要只盯 API misuse,也要盯私有基礎設施裡的 open-weight model abuse。再講白一點,credential hygiene 還是最便宜、最有效的第一道門,因為偷來的帳密,永遠是攻擊者最愛的橋。
- 假設攻擊者會把自動化和偷來的 access 混用。
- 把 open-weight model abuse 納入內部風險假設。
- 先處理憑證衛生,因為那還是最短路徑。
你該防的,是縮短後的流程,不是科幻名詞
如果把這整起事件剝乾淨,我看到的是 operational compression。AI 讓攻擊者少做很多重複動作,所以人只要先把材料備好,後面就能跑得很快。這代表防守方不該一直問「這算不算真的 AI 勒索」,而是該問「攻擊鏈裡哪些步驟已經便宜到可以自動化」。
我自己的做法會分三塊。第一,降低 stolen credentials 的價值,像是縮小可重用範圍、收緊存取邊界。第二,讓基礎設施 provisioning 變吵,因為 attacker staging 再怎麼藏,還是得落地。第三,盯住從初始登入到加密或外傳之間的快速轉換,因為那段越快,越不給人反應時間。
我也想把團隊內部的語言改掉。很多人講「agentic ransomware」好像在講一個新名詞,其實比較像是勒索軟體換了勞工模式:人把重複工作外包給軟體。講白一點,這不是新物種,是舊犯罪流程加上更順手的自動化。
實操寫法就是一句話:別被「AI」兩個字帶偏,直接看誰還在出力。只要人還要挑目標、備環境、拿憑證,防守就還有切點。你要抓的不是神話,是瓶頸。
可抄的模板
# AI 勒索事件分析模板(給安全團隊直接用)
## 事件摘要
- 用白話寫出這次入侵發生了什麼。
- 把已確認事實和推測分開。
- 只有在來源明確提到時,才寫模型、工具或自動化名稱。
## AI 實際做了什麼
- 列出自動化系統負責的步驟。
- 記錄是否有 retry、修正錯誤、生成內容或自我調整。
- 如果有時間資訊,記下每一步耗時。
## 人還做了什麼
- 選定目標
- 準備基礎設施
- 提供憑證或存取權
- 決定攻擊目標與範圍
## 為什麼這件事重要
- 說明 AI 是減少人力、加快速度,還是擴大規模。
- 找出仍然需要人手的瓶頸。
- 列出防守方還能偵測或攔截的節點。
## 防守動作
- 收緊 credential hygiene,移除重複使用。
- 監控新 staging infrastructure 和短命主機。
- 對「登入失敗 → 權限提升 → 加密」這種快速鏈路做告警。
- 把「AI-run」當成執行方式,不要當成根因。
## 信心等級
- 已確認:
- [ ]
- 高機率:
- [ ]
- 未知:
- [ ]
## 一句話結論
用一句話寫清楚:這次攻擊是自主、人主導,還是混合式,原因是什麼。這篇的原始材料主要來自 TechCrunch,並參考 Langflow、Sysdig 與 LinkedIn 上的 Geoff McDonald 觀點。我這篇的拆解、框架和可抄模板是我自己整理的,衍生自公開資訊,不是原報導原文。