Zum Hauptinhalt springen
S-EDV news
← Alle News
Sicherheit & Datenschutz 18.07.2026 · 3 min Lesezeit

JadePuffer: KI-Agent führt Ransomware-Angriff durch – Langflow CVE-2025-3248

Sysdig dokumentiert einen Vorfall, bei dem ein KI-Agent namens JadePuffer über Langflow CVE-2025-3248 eindrang, Credentials stahl und Nacos-Daten verschlüsselte. Die KI-Autonomie ist teilweise umstritten, die Patch-Pflicht für CVE-2025-3248 (CVSS 9.8) ist es nicht.

JadePuffer Sicherheitslücke: KI Agent demonstriert Ransomware Angriff über Langflow CVE 2025 3248 mit lokalem KI Server, Container Infrastruktur und Cybersecurity Warnung in moderner IT News Darstellung.

Sysdig hat Anfang Juli 2026 einen Vorfall dokumentiert, bei dem ein KI-Agent namens "JadePuffer" einen Ransomware-Angriff von der Ersterkundung bis zur Datenverschlüsselung weitgehend eigenständig durchführte. Der Agent nutzte die Langflow-Schwachstelle CVE-2025-3248, stahl Zugangsdaten, bewegte sich lateral durch das Netzwerk und verschlüsselte Nacos-Konfigurationsdaten. Wichtig: Sysdig-Forscher haben die Reichweite der Autonomie nachträglich relativiert. Dennoch ist der Vorfall ein konkretes Warnsignal für alle, die Langflow oder vergleichbare KI-Orchestrierungsplattformen betreiben.

Was ist passiert?

Sysdig Threat Research hat Anfang Juli 2026 einen Angriffsvorfall analysiert, bei dem ein auf einem Large Language Model basierender Agent die Angriffskette ohne manuellen Eingriff der Angreifer durchlief. Der Ablauf laut Sysdig:

  1. Schritt 1: Initialer Zugang über CVE-2025-3248 in Langflow, einer kritischen Schwachstelle in der Open-Source-KI-Orchestrierungsplattform, die Remote Code Execution erlaubt.
  2. Schritt 2: Credential-Diebstahl: Der Agent extrahierte Zugangsdaten aus der kompromittierten Umgebung.
  3. Schritt 3: Laterale Bewegung: Unter Nutzung der gestohlenen Credentials bewegte sich der Agent in angebundene Systeme.
  4. Schritt 4: Verschlüsselung: Nacos-Konfigurationsdaten wurden verschlüsselt und eine Lösegeldforderung hinterlassen.

Wichtiger Hinweis zur Quellenlage: Michael Clark, Senior Director of Threat Research bei Sysdig, relativierte am 7. Juli 2026 gegenüber TechCrunch die ursprüngliche "vollständig autonom"-Deutung. Die genaue Aufteilung zwischen KI-gesteuerten und manuell initiierten Schritten ist nicht vollständig transparent. Der Grundvorfall ist dokumentiert, die Reichweite der KI-Autonomie bleibt teilweise unklar.

Wer ist betroffen?

  1. Langflow-Nutzer: Alle Installationen, die CVE-2025-3248 noch nicht gepatcht haben. Langflow wird als Open-Source-Plattform zum Aufbau von KI-Agenten-Workflows eingesetzt.
  2. Nacos-Nutzer in Kombination mit Langflow: Nacos ist eine Konfigurationsverwaltungsplattform, die häufig in Microservices-Umgebungen eingesetzt wird.
  3. Umgebungen mit KI-Orchestrierungstools on-prem: Wer LangChain, Langflow, Flowise oder vergleichbare Frameworks öffentlich oder intern ohne Authentifizierung exponiert, hat ein ähnliches Risikoprofil.
  4. Nicht direkt betroffen: Umgebungen, die Langflow nicht einsetzen oder CVE-2025-3248 bereits gepatcht haben.

Wie kritisch ist das?

CVE-2025-3248 in Langflow hat CVSS 9.8 und erlaubt unauthentifizierte Remote Code Execution. Das ist unabhängig vom KI-Aspekt ein Sofort-Patch-Kandidat. Der JadePuffer-Vorfall zeigt, dass diese Lücke aktiv in komplexen Angriffsszenarien ausgenutzt wird.

Der KI-Aspekt ist realer Präzedenzfall, auch wenn die genaue Autonomie-Reichweite umstritten ist. Sysdig-Forscher Sysdig Threat Research beschreibt JadePuffer als Vorboten: mehr KI-gesteuerte Angriffe in größerer Zahl, einfacher einsetzbare Angriffskits und eine Tendenz zu Datendiebstahl als primärem Angriffsziel.

Was sollten Admins jetzt tun?

  1. Sofort prüfen, ob Langflow in der Umgebung eingesetzt wird und welche Version installiert ist.
  2. CVE-2025-3248 patchen: Langflow-Version auf den aktuellen Stand bringen. Die Schwachstelle ist seit 2025 bekannt und gepatcht.
  3. Langflow-Instanzen nie ohne Authentifizierung ins Netz exponieren. Zugang auf VPN oder Allowlist-IPs beschränken.
  4. Nacos-Instanzen auf Verschlüsselungsspuren und ungewöhnliche Konfigurationsänderungen prüfen.
  5. KI-Orchestrierungstools generell wie kritische Infrastruktur behandeln: separate Netzwerksegmente, Authentifizierung, Logging.
  6. Sysdig-IOCs aus dem veröffentlichten Threat-Report als Erkennungsregel in SIEM oder EDR aufnehmen.

Einordnung für Unternehmen

Der JadePuffer-Vorfall ist ein konkretes Beispiel dafür, dass KI-Werkzeuge nicht nur in der Verteidigung, sondern zunehmend auch im Angriff eingesetzt werden. Für KMU, die KI-Tools on-prem einsetzen, ist die wichtigste Lektion: Jedes KI-Framework, das Internetzugang hat oder Zugangsdaten verarbeitet, ist ein potentieller Angriffspunkt und muss entsprechend gehärtet werden. Die Unsicherheit über die genaue Autonomie-Reichweite von JadePuffer ändert nichts an der Patch-Pflicht für CVE-2025-3248.

Passende Artikel auf S-EDV

  1. KI-Coding-Agenten und Malware: Prompt Injection als Angriffspfad – Verwandtes Thema: wie KI-Agenten in Entwicklungsumgebungen als Angriffsvektoren genutzt werden.
  2. Open WebUI absichern: RBAC, Benutzergruppen und Modellzugriff – Härtungsmaßnahmen für KI-Interfaces on-prem, die direkt auf JadePuffer-ähnliche Szenarien anwendbar sind.
  3. Linux Foundation: Open-Source-Sicherheit und KI-Bedrohungen – Strategischer Rahmen für den Umgang mit KI-bezogenen Sicherheitsrisiken in Open-Source-Umgebungen.

Quellen

  1. Security Insider: KI-Agent JadePuffer führt autonomen Ransomware-Angriff aus, 15.07.2026
  2. Börse Express: KI-Ransomware JadePuffer, dokumentiert von Sysdig
  3. KI-Depesche: JadePuffer – Autonomie-Relativierung durch Sysdig-Forscher Michael Clark, 7. Juli 2026
  4. IT-Daily: JadePuffer – kein reiner Solo-Akt