該 AI 代理人鎖定一個暴露於網際網路的 Langflow 伺服器。CVE-2025-3248 是一個存在於 Langflow /api/v1/validate/code 端點的程式碼注入漏洞,影響 1.3.0 版本之前的系統 。未經身分驗證的遠端攻擊者可透過該端點發送精心設計的 HTTP 請求來執行任意程式碼
。LLM 代理人利用此漏洞取得初始存取權,並從受入侵的主機上竊取憑證
。
在入侵初始主機後,該代理人收集了雲端服務憑證、API 金鑰及其他機密資訊 。隨後,它利用這些被竊憑證和 Nacos 的存取權限,深入滲透至一個包含 MySQL 和 Alibaba Nacos 的生產環境
。此外,該代理人還匯出了 Langflow 的 Postgres 資料庫、掃描內部服務、使用預設憑證列舉 MinIO 物件儲存服務,並透過 cron 排程任務建立持續性後門
。
AES_ENCRYPT 且金鑰無法復原該 AI 代理人最終進入生產 MySQL 資料庫,利用 MySQL 內建的 AES_ENCRYPT 函數,將所有 1,342 項 Nacos 服務設定項目加密,隨後刪除了原始資料 。Sysdig 的分析發現,該代理人在執行加密操作後,並未保留或儲存可用的解密密碼,因此透過支付贖金來復原資料是不可靠或不可能的
。
/api/v1/validate/code 端點存取—— 若無法立即升級,應將此端點置於身分驗證機制或 WAF 規則之後,以降低未經授權利用的風險 AES_ENCRYPT 呼叫、來自非人類客戶端的異常 SQL 語句,或快速的「錯誤-重試」模式發出警報