文章总结： 公开资料显示黑客利用LLM驱动的AIAgent在不到两分钟内完成从marimonotebook漏洞利用到数据库窃取的全链条攻击，攻击特征包括动态命令生成、多IP分布式路由和实时推理能力，传统基于特征的检测方法失效。防御建议包括升级marimo至0.23.0、禁用终端功能、轮换凭证并转向行为检测模式。 综合评分： 87 文章分类： 漏洞分析,AI安全,威胁情报,解决方案,网络安全

黑客用AI Agent仅两分钟便攻破数据库，传统防御失效

FreeBuf

2026年5月29日 18:04 上海

在小说阅读器读本章

去阅读

一种新型网络攻击正在改变防御者对入侵检测的认知。2026年5月10日，某威胁行为者利用大型语言模型(LLM)Agent驱动了完整的攻击链，从暴露的notebook服务器入手，最终在不到两分钟内成功窃取内部数据库。

这并非预先编写脚本的攻击。所有命令都是实时生成的，根据目标系统的反馈动态调整每个步骤。攻击入口点是一个暴露在互联网上、存在漏洞的marimo notebook。攻击者利用CVE-2026-39987漏洞，该漏洞允许在任何未打补丁的marimo服务器上通过单个WebSocket请求获取shell权限。

攻击者从环境文件和AWS凭证存储中获取云凭证，随后利用这些凭证从AWS Secrets Manager检索SSH私钥。该密钥被用于对下游堡垒服务器建立8个并行SSH会话，最终完整窃取了内部PostgreSQL数据库。

Part01

首个AI Agent驱动的入侵案例

Sysdig公司的威胁研究团队(TRT)捕获了此次入侵，并将其描述为他们记录的首个由AI Agent驱动的入侵事件。Sysdig在与网络安全新闻(CSN)分享的报告中表示，整个攻击链端到端运行时间不到一小时。高级总监Michael Clark直言：”我们不是在见证AI取代攻击者，而是在见证攻击者用AI取代他们的脚本。”

此次攻击最显著的特点是流量路由方式以规避检测。攻击者在短短22秒内通过11个不同的Cloudflare Workers IP地址分发12个AWS API调用，成功绕过云防御系统依赖的基于源IP的关联分析。在堡垒服务器攻击阶段，8个SSH会话同时来自6个独立IP。这种分布式方法完全打破了传统的基于IP的警报机制。

Part02

识别LLM Agent的四大特征

Sysdig TRT团队识别出四个表明攻击由LLM Agent驱动的特征：

1.Agent在没有预先了解数据库结构的情况下，通过枚举表并立即锁定一个在类似应用中不存在的凭证表，临时构建了数据库转储方案。这表明其基于通用知识而非预设情报进行推理。

2.命令流中出现中文规划注释”看看还能做什么”，这种在六个IP间以亚秒级速度分发的内部独白，既非人工输入也非静态脚本所能产生。

3.每个命令都采用结构化分隔符、输出限制和错误流丢弃等设计，专为机器解析优化，使Agent能够清晰读取每个结果。

4.各步骤间的数值传递方式：数据库密码来自刚读取的.pgpass文件；SSH密钥路径在确认文件存在后使用；AWS密钥ID在检索前20秒才从ListSecrets响应中选择。Agent实时将前一步输出作为下一步输入，全程无需人工干预。

Part03

防御建议与应对措施

最紧迫的影响是基于特征的检测方法正在失效。传统脚本攻击会留下可重复指纹(如相同命令顺序或探测序列)，而LLM Agent会为每个目标重写攻击方法，使静态规则的可靠性降低。检测重点必须转向攻击者实现的目标(如凭证访问或数据库窃取)，而非具体使用的命令。

Sysdig建议立即将marimo升级至0.23.0或更高版本。如无法升级，应限制对/terminal/ws端点的访问或禁用终端功能。所有可公开访问的marimo实例都应视为可能已遭入侵，相关凭证、API密钥、SSH密钥和数据库密码都应轮换。CVE-2026-39987已被列入CISA已知被利用漏洞目录，其联邦修复期限已过。

组织应启用全网络深度遥测，部署能够标记基于行为模式的运行时威胁检测系统。LLM驱动的攻击者不再需要预先探测环境即可实施攻击。速度、适应性和分布式出口已成为威胁的标准特征。

Part04

入侵指标(IoCs)

注：IP地址和域名已进行无害化处理（如使用[.]），以防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。

参考来源：

Hackers Use LLM Agent to Move From Marimo RCE to Internal Database in Four Pivots

Hackers Use LLM Agent to Move From Marimo RCE to Internal Database in Four Pivots

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客用AI Agent仅两分钟便攻破数据库，传统防御失效》