[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article-ai-ransomware-still-needs-a-human-bottleneck-zh":3,"article-related-ai-ransomware-still-needs-a-human-bottleneck-zh":30,"series-research-48d2bd0a-8140-4bda-8a04-8523145b3197":73},{"id":4,"slug":5,"title":6,"content":7,"summary":8,"source":9,"source_url":10,"author":11,"image_url":12,"cover_image":12,"category":13,"language":14,"translated_content":11,"related_article_id":15,"keywords":16,"key_takeaways":22,"views":26,"created_at":27,"published_at":28,"topic_cluster_id":29},"48d2bd0a-8140-4bda-8a04-8523145b3197","ai-ransomware-still-needs-a-human-bottleneck-zh","AI勒索仍卡在人手瓶頸","\u003Cp data-speakable=\"summary\">以前大家以為 AI 勒索會自己跑完整套，現在看清楚了：人先選目標、備好入口，AI 只負責把活幹快。\u003C\u002Fp>\u003Cp>我盯這種「agentic 攻擊」寫法一陣子了，越看越煩。不是\u003Ca href=\"\u002Fnews\u002Fchina-winning-ai-cold-war-building-stack-zh\">因為它\u003C\u002Fa>不危險，而是因為很多文章一講到 AI，就開始把劇情寫得像科幻片，好像攻擊者已經不用人管了。我實際去看細節，才發現老問題還在：帳密、主機、權限、目標選擇，這些最髒最麻煩的事，還是人先弄好。這次我拆的是 TechCrunch 的 \u003Ca href=\"https:\u002F\u002Ftechcrunch.com\u002F2026\u002F07\u002F06\u002Fthe-first-ai-run-ransomware-attack-still-needed-a-human\u002F\">報導\u003C\u002Fa>，搭配 Sysdig 對 JadePuffer 事件的說明。看完我只想講一句：AI 真的有在跑，但它不是自己長出一整個勒索團隊。\u003C\u002Fp>\u003Cp>觸發我寫這篇的，是 Connie Loizos 在 \u003Ca href=\"https:\u002F\u002Ftechcrunch.com\u002F2026\u002F07\u002F06\u002Fthe-first-ai-run-ransomware-attack-still-needed-a-human\u002F\">TechCrunch\u003C\u002Fa> 的整理，裡面引了 Sysdig 的 Michael Clark 來補齊操作細節。原始報導沒有給我額外觀看數或書籤數，我就不亂編。真正值得看的是補充說法：人還是先把地基打好，AI 才上場做執行。\u003C\u002Fp>\u003Ch2>標題很猛，但故事只對了一半\u003C\u002Fh2>\u003Cblockquote>The agent handled the technical execution of a real-world cyberattack from start to finish.\u003C\u002Fblockquote>\u003Cp>這句話很抓眼球，我懂。因為它聽起來像是 AI 已經能自己入侵、橫向移動、加密資料、順手寫勒索信，像一隻會用終端機的幽靈。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783800203353-1ntk.png\" alt=\"AI勒索仍卡在人手瓶頸\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>但我把原文和後續澄清一起看，結論就變得很樸素：AI 負責動手，不負責決策。Sysdig 的 Michael Clark 說得很直白，人還是先「set up and pointed the operation」，還幫忙 provision infrastructure，包含 command-and-control server、staging server，甚至連 victim 都是人挑的。這不是小補充，這是整個攻擊骨架。\u003C\u002Fp>\u003Cp>翻譯一下就是，機器把苦工做掉了，但方向盤還在人手上。這很重要，因為很多人一看到自動化，就直接腦補成自主化。我以前也踩過這個坑：把腳本跑得很順，心裡就開始飄，覺得自己像在指揮一支無人軍團。結果一查，原來只是我少按幾次鍵盤。\u003C\u002Fp>\u003Cp>實操上，我會先把「執行」和「編排」拆開看。每次看到 agentic attack，先問四件事：誰選的受害者、誰提供入口、誰準備基礎設施、誰決定停手。只要其中一項還是人做的，你看到的就不是全自動攻擊，而是人主導、工具加速的攻擊。\u003C\u002Fp>\u003Ch2>真正難的那段，還是人先做完了\u003C\u002Fh2>\u003Cp>Clark 的補充裡，最有價值的地方不是 AI 做了什麼，而是 AI 開始做事之前，人已經做完了什麼。人先挑目標、先架好伺服器、先拿到偷來的 credentials，而且那些憑證還是從另一個前置入侵拿來的。\u003C\u002Fp>\u003Cp>這會直接改變威脅模型。因為 AI 不是從零開始，它是被丟進一個已經鋪好路的作業流程裡。換句話說，它不是取代整條攻擊鏈，而是把「拿到 foothold 之後到造成傷害」這段壓縮得更短。\u003C\u002Fp>\u003Cp>我做過幾次事件演練，最常見的現實就是這樣：真正出事的那一刻看起來很戲劇，但前面早就有一堆小洞，像是重複\u003Ca href=\"\u002Fnews\u002Fclaude-reflect-turns-usage-into-retention-zh\">使用\u003C\u002Fa>的密碼、暴露的管理介面、錯的權限邊界、沒人管的服務帳號。AI 只是把這些漏洞串起來的速度加快，讓你更晚才反應過來。\u003C\u002Fp>\u003Cp>實操寫法很簡單：把防守重心放在攻擊前段。看新開的 VPS、短命的 abuse domain、異常的 staging host、憑證在不同環境被重用的跡象。只要人還得先準備這些東西，你就還有機會在 AI 開始衝刺前把它攔下來。\u003C\u002Fp>\u003Cul>\u003Cli>看新出現的雲端主機與短壽命網域。\u003C\u002Fli>\u003Cli>把 stolen credential 的使用和內部 admin 行為一起比對。\u003C\u002Fli>\u003Cli>提早抓資料 staging，不要等到開始加密才反應。\u003C\u002Fli>\u003Cli>把「AI 攻擊」當成 campaign 標籤，不要當根因。\u003C\u002Fli>\u003C\u002Ful>\u003Ch2>它快，才是讓人不舒服的地方\u003C\u002Fh2>\u003Cp>這起事件裡最該讓人皺眉的，不是什麼神秘感，而是速度。Sysdig 的說法是，這個 \u003Ca href=\"\u002Ftag\u002Fagent\">agent\u003C\u002Fa> 是透過 \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Flangflow-ai\u002Flangflow\">Langflow\u003C\u002Fa> 的已知漏洞切進去，之後跑到 production MySQL server，再利用另一個已知漏洞拿到 admin 權限，接著加密了 1,300 多筆設定紀錄，還自己寫勒索信、產生 Bitcoin address。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783800192191-g9j5.png\" alt=\"AI勒索仍卡在人手瓶頸\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>我看到這裡的反應不是「完了，機器人來了」，而是「殺傷鏈變短了」。這才是重點。因為人手操作時，每失敗一次都要停一下、想一下、換一下策略；但 agent 可以在 31 秒內修正失敗登入，繼續往下跑。那個時間差，就是防守方最常拿來插手的窗口。\u003C\u002Fp>\u003Cp>我以前也很迷信「只要有錯誤，總會有機會」。後來看太多自動化流程才知道，當 retry、backoff、error recovery 都交給系統，整條流程會變得很滑順，滑順到你還沒回神，它已經跑到下一步。攻擊自動化也是同一套邏輯：它不需要比你聰明，只要比你的告警處理快。\u003C\u002Fp>\u003Cp>實操寫法：把偵測設計成連續故事，不要只看單點異常。登入失敗本身很吵，但登入失敗後接 privilege escalation、資料庫存取、檔案加密、勒索字串生成，這才是該被提早串起來的事件鏈。\u003C\u002Fp>\u003Ch2>多模型這件事，先別自己加戲\u003C\u002Fh2>\u003Cp>報導裡有一段很容易讓人腦補過頭。Clark 一開始對 CyberScoop 提到「multiple models were used」，還列了 \u003Ca href=\"\u002Ftag\u002Fopenai\">OpenAI\u003C\u002Fa>、\u003Ca href=\"\u002Ftag\u002Fanthropic\">Anthropic\u003C\u002Fa>、DeepSeek、\u003Ca href=\"\u002Ftag\u002Fgemini\">Gemini\u003C\u002Fa> 的 keys。聽起來像是多模型協同作戰，對吧？但他後來又對 TechCrunch 澄清，這些 keys 只是 agent 在主機上掃到的戰利品，不代表那些模型真的在控制攻擊。\u003C\u002Fp>\u003Cp>翻譯一下就是：你看到的是被偷走的東西，不是攻擊的駕駛座。這差很多。很多安全評論就是死在這裡，看到一串 API key，就開始把整個故事往更大、更複雜、更像電影的方向講。我懂那個誘惑，我也曾經在 log 前面熬到半夜，硬把好幾個點湊成一個漂亮敘事，結果最後證據根本沒那麼滿。\u003C\u002Fp>\u003Cp>所以我現在會刻意把「觀察到的 artifact」和「推論出的 capability」分開。API key、模型名稱、雲端 token，這些都是 artifact。自主決策、目標選擇、策略調整，這些才是 capability。兩者不要混在一起，不然你會把一袋贓物誤認成一台自動駕駛車。\u003C\u002Fp>\u003Cp>實操上，做 incident analysis 時我會直接寫兩欄：Confirmed 和 Unknown。確認的只寫證據，不猜；未知的就老實標未知。這樣雖然沒那麼帥，但至少不會拿幻想當威脅模型。\u003C\u002Fp>\u003Ch2>開放權重模型，比大廠名牌更值得盯\u003C\u002Fh2>\u003Cp>TechCrunch 也提到 \u003Ca href=\"\u002Ftag\u002Fmicrosoft\">Microsoft\u003C\u002Fa> 研究員 Geoff McDonald 在 LinkedIn 上的看法：這次攻擊可能用的是一個去掉安全訓練的 open-weight model，而不是某個前沿閉源模型。這個說法還沒被 Sysdig 正式確認，但我覺得值得留意，因為它更貼近現實。\u003C\u002Fp>\u003Cp>如果這個方向是真的，麻煩就不是「某個頂級模型失控」，而是「便宜、可改、可本地部署的模型，配上偷來的 access，就已經夠用」。這對防守方很不舒服，因為它代表門檻可能比大家想像的低很多。\u003C\u002Fp>\u003Cp>我看過不少\u003Ca href=\"\u002Fnews\u002F5-chatgpt-team-work-zh\">團隊把\u003C\u002Fa>注意力都放在大廠 API 上，好像風險只會從那些名字出現的那一刻才開始。這個直覺其實很危險。攻擊者如果能在自己的基礎設施上跑 open-weight model，他們就少了對單一供應商安全層的依賴，也更容易把整個流程藏起來。\u003C\u002Fp>\u003Cp>實操寫法：威脅情報不要只盯 API misuse，也要盯私有基礎設施裡的 open-weight model abuse。再講白一點，credential hygiene 還是最便宜、最有效的第一道門，因為偷來的帳密，永遠是攻擊者最愛的橋。\u003C\u002Fp>\u003Cul>\u003Cli>假設攻擊者會把自動化和偷來的 access 混用。\u003C\u002Fli>\u003Cli>把 open-weight model abuse 納入內部風險假設。\u003C\u002Fli>\u003Cli>先處理憑證衛生，因為那還是最短路徑。\u003C\u002Fli>\u003C\u002Ful>\u003Ch2>你該防的，是縮短後的流程，不是科幻名詞\u003C\u002Fh2>\u003Cp>如果把這整起事件剝乾淨，我看到的是 operational compression。AI 讓攻擊者少做很多重複動作，所以人只要先把材料備好，後面就能跑得很快。這代表防守方不該一直問「這算不算真的 AI 勒索」，而是該問「攻擊鏈裡哪些步驟已經便宜到可以自動化」。\u003C\u002Fp>\u003Cp>我自己的做法會分三塊。第一，降低 stolen credentials 的價值，像是縮小可重用範圍、收緊存取邊界。第二，讓基礎設施 provisioning 變吵，因為 attacker staging 再怎麼藏，還是得落地。第三，盯住從初始登入到加密或外傳之間的快速轉換，因為那段越快，越不給人反應時間。\u003C\u002Fp>\u003Cp>我也想把團隊內部的語言改掉。很多人講「agentic ransomware」好像在講一個新名詞，其實比較像是勒索軟體換了勞工模式：人把重複工作外包給軟體。講白一點，這不是新物種，是舊犯罪流程加上更順手的自動化。\u003C\u002Fp>\u003Cp>實操寫法就是一句話：別被「AI」兩個字帶偏，直接看誰還在出力。只要人還要挑目標、備環境、拿憑證，防守就還有切點。你要抓的不是神話，是瓶頸。\u003C\u002Fp>\u003Ch2>可抄的模板\u003C\u002Fh2>\u003Cpre>\u003Ccode># AI 勒索事件分析模板（給安全團隊直接用）\n\n## 事件摘要\n- 用白話寫出這次入侵發生了什麼。\n- 把已確認事實和推測分開。\n- 只有在來源明確提到時，才寫模型、工具或自動化名稱。\n\n## AI 實際做了什麼\n- 列出自動化系統負責的步驟。\n- 記錄是否有 retry、修正錯誤、生成內容或自我調整。\n- 如果有時間資訊，記下每一步耗時。\n\n## 人還做了什麼\n- 選定目標\n- 準備基礎設施\n- 提供憑證或存取權\n- 決定攻擊目標與範圍\n\n## 為什麼這件事重要\n- 說明 AI 是減少人力、加快速度，還是擴大規模。\n- 找出仍然需要人手的瓶頸。\n- 列出防守方還能偵測或攔截的節點。\n\n## 防守動作\n- 收緊 credential hygiene，移除重複使用。\n- 監控新 staging infrastructure 和短命主機。\n- 對「登入失敗 → 權限提升 → 加密」這種快速鏈路做告警。\n- 把「AI-run」當成執行方式，不要當成根因。\n\n## 信心等級\n- 已確認：\n  - [ ]\n- 高機率：\n  - [ ]\n- 未知：\n  - [ ]\n\n## 一句話結論\n用一句話寫清楚：這次攻擊是自主、人主導，還是混合式，原因是什麼。\u003C\u002Fcode>\u003C\u002Fpre>\u003Cp>這篇的原始材料主要來自 \u003Ca href=\"https:\u002F\u002Ftechcrunch.com\u002F2026\u002F07\u002F06\u002Fthe-first-ai-run-ransomware-attack-still-needed-a-human\u002F\">TechCrunch\u003C\u002Fa>，並參考 \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Flangflow-ai\u002Flangflow\">Langflow\u003C\u002Fa>、\u003Ca href=\"https:\u002F\u002Fwww.sysdig.com\u002F\">Sysdig\u003C\u002Fa> 與 \u003Ca href=\"https:\u002F\u002Ftwitter.com\u002F\">LinkedIn 上的 Geoff McDonald 觀點\u003C\u002Fa>。我這篇的拆解、框架和可抄模板是我自己整理的，衍生自公開資訊，不是原報導原文。\u003C\u002Fp>","我拆解首起 AI 參與勒索案，重點是人先鋪路、AI 才負責執行，防守要盯住人手瓶頸。","techcrunch.com","https:\u002F\u002Ftechcrunch.com\u002F2026\u002F07\u002F06\u002Fthe-first-ai-run-ransomware-attack-still-needed-a-human\u002F",null,"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783800203353-1ntk.png","research","zh","dff7c89f-12cc-4eda-a605-67f4cd0d8036",[17,18,19,20,21],"AI ransomware","agentic attack","credential theft","incident response","open-weight model",[23,24,25],"AI 先做的是執行，不是整體戰略；人還在挑目標、備基礎設施、拿憑證。","防守要盯的是縮短後的攻擊鏈，特別是登入、提權、資料外傳與加密之間的速度。","看到模型名稱或 API key 不等於知道攻擊者用了哪個模型，別把 artifact 當 capability。",0,"2026-07-11T20:02:52.10043+00:00","2026-07-11T20:02:52.089+00:00","877aae9a-5448-47b9-9706-6dc86dd53182",{"tags":31,"relatedLang":32,"relatedPosts":36},[],{"id":15,"slug":33,"title":34,"language":35},"ai-ransomware-still-needs-a-human-bottleneck-en","AI ransomware still needs a human bottleneck","en",[37,43,49,55,61,67],{"id":38,"slug":39,"title":40,"cover_image":41,"image_url":41,"created_at":42,"category":13},"f25ed4f5-db61-4d8c-bc59-e80c93e27927","llm-benchmarks-not-enough-2026-zh","2026 年挑 LLM，別再把 benchmark 當答案","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783818161840-t0n4.png","2026-07-12T01:02:19.419242+00:00",{"id":44,"slug":45,"title":46,"cover_image":47,"image_url":47,"created_at":48,"category":13},"35378c9f-bc39-4cc0-b9e1-1ce4a746ba5b","rust-breaks-into-tiobe-top-10-zh","Rust 進入 TIOBE 前十的判讀筆記","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783816365723-zjl1.png","2026-07-12T00:32:23.969578+00:00",{"id":50,"slug":51,"title":52,"cover_image":53,"image_url":53,"created_at":54,"category":13},"7773aa86-8276-49ff-8fce-a58639ce180c","benchmark-scientific-lineage-reasoning-zh","IG-Bench：測科學譜系推理","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783666980843-7o76.png","2026-07-10T07:02:31.047117+00:00",{"id":56,"slug":57,"title":58,"cover_image":59,"image_url":59,"created_at":60,"category":13},"7be813ff-524d-4445-a924-5c11002c87cf","opencof-video-generation-reasoning-zh","OpenCoF 讓影片模型逐幀推理","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783665174981-siq1.png","2026-07-10T06:32:29.458194+00:00",{"id":62,"slug":63,"title":64,"cover_image":65,"image_url":65,"created_at":66,"category":13},"5c1a4cfe-93d9-4619-8f04-67a10de880ce","uniclawbench-proactive-agents-live-tasks-zh","UniClawBench：活體任務測主動式代理","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783663371728-73eg.png","2026-07-10T06:02:24.502805+00:00",{"id":68,"slug":69,"title":70,"cover_image":71,"image_url":71,"created_at":72,"category":13},"a5119837-3405-44e3-86fd-cf3923096cb2","webassembly-to-c-rivals-native-runtimes-2026-zh","WebAssembly-to-C 仍能打平原生執行環境","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1783647172829-3d39.png","2026-07-10T01:32:30.98686+00:00",[74,79,84,89,94,99,104,109,114,119],{"id":75,"slug":76,"title":77,"created_at":78},"f18dbadb-8c59-4723-84a4-6ad22746c77a","deepmind-bets-on-continuous-learning-ai-2026-zh","DeepMind 押注 2026 連續學習 AI","2026-03-26T08:16:02.367355+00:00",{"id":80,"slug":81,"title":82,"created_at":83},"f4a106cb-02a6-4508-8f39-9720a0a93cee","ml-papers-of-the-week-github-research-desk-zh","每週 ML 論文清單，為何紅到 GitHub","2026-03-27T01:11:39.284175+00:00",{"id":85,"slug":86,"title":87,"created_at":88},"c4f807ca-4e5f-47f1-a48c-961cf3fc44dc","ai-ml-conferences-to-watch-in-2026-zh","2026 AI 研討會投稿時程整理","2026-03-27T01:51:53.874432+00:00",{"id":90,"slug":91,"title":92,"created_at":93},"cf046742-efb2-4753-aef9-caed5da5e32e","adaptive-block-scaled-data-types-zh","IF4：神經網路量化的聰明選擇","2026-03-31T06:00:36.990273+00:00",{"id":95,"slug":96,"title":97,"created_at":98},"53a0dc54-0371-4e40-8d5e-74e94a73840c","geometry-aware-similarity-metrics-for-neural-representations-zh","超越距離測量：用微分幾何重新理解神經網路","2026-03-31T06:01:01.241968+00:00",{"id":100,"slug":101,"title":102,"created_at":103},"fee7d472-a775-4b1d-bbc2-1e8bca1bbf8b","on-the-fly-repulsion-in-the-contextual-space-for-rich-divers-zh","讓AI繪圖更有創意：用排斥力提升生成多樣性","2026-03-31T06:01:25.439673+00:00",{"id":105,"slug":106,"title":107,"created_at":108},"a9901203-d69b-447b-8854-15d14eab32b4","vision-aided-beam-prediction-cnn-eca-zh","影像輔助波束預測升級 CNN","2026-04-01T10:00:25.8073+00:00",{"id":110,"slug":111,"title":112,"created_at":113},"b55e7dd4-0a24-4b3d-804d-b0309a03f498","triple-band-fss-mimo-antenna-sub-6-ghz-zh","三頻 FSS MIMO 天線瞄準 sub-6 GHz","2026-04-01T13:18:36.857305+00:00",{"id":115,"slug":116,"title":117,"created_at":118},"f68290bd-e7f3-4b30-ba22-dcd4e0130a66","openclaw-1299-repos-eight-weeks-analysis-zh","OpenClaw 1299 個 Repo 的資料解讀","2026-04-02T05:03:45.208411+00:00",{"id":120,"slug":121,"title":122,"created_at":123},"ed9f80eb-eb02-4d35-8ad4-0ddf428751dd","beam-coherence-aware-combining-mmwave-mimo-zh","毫米波 MIMO 的雙階合併法","2026-04-02T05:27:26.897188+00:00"]