JADEPUFFER 2026: Lần Đầu Tiên AI Tự Chạy Ransomware Từ A Đến Z, 600 Payloads Không Cần Human

Câu trả lời nhanh
JADEPUFFER là cuộc tấn công ransomware tự chủ đầu tiên do AI điều khiển hoàn toàn. Sysdig ghi nhận hơn 600 payloads được LLM agent tự thực thi từ A đến Z: xâm nhập qua lỗ hổng Langflow CVE-2025-3248, đánh cắp credentials, di chuyển ngang qua mạng, mã hóa database và viết ransom note. AI tự fix lỗi payload thất bại trong 31 giây. Barrier to entry cho ransomware vừa giảm xuống gần bằng 0.

Lần đầu tiên trong lịch sử an ninh mạng, một AI agent đã tự mình thực hiện toàn bộ chuỗi tấn công ransomware — từ việc xâm nhập, đánh cắp thông tin, di chuyển ngang qua mạng, mã hóa database, đến viết thư tống tiền. Không cần human hướng dẫn từng bước. Sysdig gọi nó là JADEPUFFER, và đây không còn là lý thuyết nữa.

Mình đã theo dõi nhiều cuộc tấn công AI trong năm 2026, nhưng JADEPUFFER đánh dấu một bước ngoặt thực sự: kỹ năng cần thiết để chạy một cuộc tấn công ransomware vừa giảm xuống gần bằng 0. Bạn chỉ cần chọn mục tiêu và thiết lập hạ tầng — AI lo phần còn lại.

JADEPUFFER là gì và tại sao nó khiến giới an ninh mạng chấn động?

JADEPUFFER là tên mã do đội Threat Research Team của Sysdig đặt cho một cuộc tấn công ransomware mà ở đó, một Large Language Model (LLM) agent đóng vai trò kẻ tấn công chính. Không phải phụ trợ, không phải công cụ hỗ trợ — mà là thực thể tự ra quyết định và thực thi toàn bộ attack chain.

Điều khiến cộng đồng bảo mật chấn động là con số: hơn 600 payloads được AI tự tạo và thực thi, bao gồm trinh sát, thu thập credentials, lateral movement, privilege escalation, persistence, mã hóa database và tạo ransom note. Tất cả mà không có một human nào trực tiếp can thiệp sau bước truy cập ban đầu.

AI đã tự thực hiện cuộc tấn công ransomware như thế nào?

Quá trình tấn công chia làm hai giai đoạn rõ rệt. Giai đoạn 1: xâm nhập vào một server Langflow exposure internet thông qua CVE-2025-3248. Ngay khi có quyền thực thi, AI agent lập tức quét môi trường để tìm secrets — API keys của OpenAI, Anthropic, DeepSeek, Gemini, cloud credentials AWS/GCP/Azure, thậm chí cả crypto wallet seeds.

Giai đoạn 2: AI pivot sang mục tiêu thực sự — một server production chạy MySQL database và Alibaba Nacos. Nó đăng nhập database với quyền root, chiếm quyền Nacos bằng cách exploit CVE-2021-29441 và default signing key, rồi tạo backdoor admin account. Điểm đáng sợ nhất: từ lúc đăng nhập thất bại đến lúc fix lỗi và thành công, AI chỉ mất 31 giây.

Kết quả: 1.342 cấu hình Nacos bị mã hóa, bảng gốc bị xóa, ransom note đòi Bitcoin được đặt tại chỗ. Nhưng có một chi tiết “hài hước” theo cách đen tối nhất — encryption key được AI tạo ra, in ra màn hình một lần rồi không lưu ở đâu cả. Nạn nhân không thể khôi phục dữ liệu dù có trả tiền.

Điểm yếu nào khiến hacker AI xâm nhập thành công?

Điểm truy cập ban đầu là CVE-2025-3248, một lỗ hổng missing authentication trong Langflow — framework open-source phổ biến cho việc xây dựng AI apps và agent workflows. Lỗ hổng này có CVSS 9.8, đã được patch từ Langflow 1.3.0 và được thêm vào CISA Known Exploited Vulnerabilities catalog từ tháng 5/2025. Nhưng nhiều server vẫn chưa cập nhật.

Langflow là mục tiêu hấp dẫn vì các server thường exposure ra internet, chứa API keys và cloud credentials trong environment variables. AI agent còn exploit thêm MinIO object storage với default credentials minioadmin:minioadmin — password mặc định chưa bao giờ được thay đổi.

Tóm lại: không có kỹ thuật nào mới trong việc xâm nhập. Tất cả đều là lỗ hổng cũ, credentials mặc định, server không patch. Điều mới là AI có thể tự động hóa toàn bộ chuỗi khai thác.

JADEPUFFER so với các cuộc tấn công AI trước đó khác gì?

Nếu so sánh với các mốc trước đây, JADEPUFFER là bước nhảy lớn nhất. PromptLock của ESET (tháng 8/2025) từng được gọi là “AI ransomware đầu tiên” nhưng hóa ra chỉ là lab prototype từ NYU. Anthropic phát hiện Claude Code bị dùng để tống tiền 17 tổ chức, nhưng vẫn có human điều khiển. Anthropic cũng từng báo cáo một cuộc tấn công gián điệp liên quan Trung Quốc dùng Claude viết exploit, nhưng đó mới là “largely autonomous” chứ không phải end-to-end.

JADEPUFFER khác ở chỗ: fully autonomous end-to-end. Human chỉ chọn mục tiêu và setup hạ tầng. Từ đó trở đi, LLM agent tự làm mọi thứ — và tự fix lỗi của chính mình khi payload thất bại.

Tiêu chíPromptLock (ESET)Claude Code ExtortionJADEPUFFER
Mức độ tự chủLab prototypeHuman-drivenFully autonomous
Số payloadsN/AThủ công600+
Thời gian fix lỗiN/AManual31 giây
Thực tế hay lab?LabRealReal

Bạn cần làm gì để bảo vệ hệ thống AI của mình?

Nếu team bạn đang chạy Langflow hoặc bất kỳ AI framework nào exposure ra internet, đây là checklist cần thực hiện ngay. Đầu tiên: patch Langflow lên phiên bản 1.3.0 trở lên và không bao giờ expose code execution endpoint ra public. Thứ hai: không đặt API keys và cloud credentials trong environment variables của AI tools — dùng secret manager riêng biệt.

Thứ ba: thay đổi mọi default credentials, đặc biệt là MinIO (minioadmin:minioadmin) và Nacos default JWT signing key. Thứ tư: không bao giờ để database admin account expose ra internet, và lock down outbound traffic để server bị compromise không thể beacon ra ngoài.

Cuối cùng: audit toàn bộ AI infrastructure. Kiểm tra xem server nào đang chạy Langflow, LangChain, hoặc các agent framework khác, và đảm bảo tất cả đã được patch. JADEPUFFER chứng minh rằng AI agent có thể spray toàn bộ back catalog của known vulnerabilities gần như miễn phí — server nào không patch sẽ là mục tiêu tiếp theo.

Kỷ nguyên mới của tội phạm AI đã bắt đầu

JADEPUFFER không phải tin đồn cũng không phải demo. Nó là bằng chứng rõ ràng nhất cho thấy barrier to entry cho ransomware attacks vừa sụp đổ. Trước đây, bạn cần một đội hacker có kỹ năng. Giờ đây, bạn cần một AI agent và một server chưa patch.

Nếu bạn đang quản lý bất kỳ hệ thống nào có exposure ra internet — đặc biệt là AI-related infrastructure — hãy audit ngay hôm nay. Không phải tuần sau, không phải tháng sau. 31 giây là tất cả những gì AI cần để từ thất bại chuyển sang thành công.

Để biết thêm về cách bảo vệ WordPress site khỏi các cuộc tấn công supply chain tương tự, bạn có thể tham khảo bài viết hướng dẫn bảo vệ WordPress Plugin Supply Chain Attack 2026 mà Thanh Tùng đã viết chi tiết.

Hương Giang

Mình là Hương Giang. Công nghệ và AI là thứ mình thích nhất — có tool mới ra là mình tải về thử, đôi khi test 4-5 cái cùng lúc chỉ để xem cái nào dùng ngon hơn. Mình không phải dân kỹ thuật chính gốc, nhưng mình biết cách nhìn nhận xem một công cụ có thực sự hữu ích cho người bình thường không. Ngoài ra mình hay nghe podcast công nghệ và lướt Product Hunt lúc rảnh.

Xem tất cả bài viết →

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *