AI Pulse

我们一年追踪AI网络威胁的发现

📅 2026 年 6 月 3 日 📖 约 5 分钟 www.anthropic.com AI安全研究
我们一年追踪AI网络威胁的发现

我们一年追踪AI网络威胁的发现

随着AI改变网络攻击的本质和方法,安全界所用的技术和框架是否还能有效应对?在一份新报告中,我们试图回答这个问题。我们研究了2025年3月至2026年3月期间因恶意网络活动而被封禁的832个账户,并将它们映射到MITRE ATT&CK——一个长期存在的网络攻击者战术和技术数据库。我们在Verizon的2026年数据泄露调查报告(DBIR)中公布了部分结果,这里分享更详细的分析。这832个案例只是该期间被封禁账户总数的一个子集,但它们代表了我们掌握足够细节、能够对攻击者技术进行彻底评估的那些案例。

我们的分析得出三个主要结论:

- 恶意行为者正在以使其更加危险的方式使用AI。更具体地说,威胁行为者在网络行动的更后期、更复杂阶段使用AI。 - 网络攻击正变得更加自主,而AI能够将攻击的许多部分串联起来,这意味着区分高风险和低风险行为者的旧方法不再有效。 - MITRE ATT&CK框架并未完全捕捉到使AI攻击者如此危险的工具和活动。

下面我们总结每个结论。你可以在我们的Frontier Red Team博客上阅读更详细的分析。

AI如何让攻击者更危险

我们数据库中最常见的AI相关活动与准备网络攻击有关,例如编写恶意软件(在我们研究的832个账户中,有560个,即67.3%使用了AI)。少数行为者使用AI进行更复杂的活动——例如,832个行为者中有54个(6.5%)使用AI辅助“横向移动”,这涉及在已攻破的网络深处进行导航。

我们发现有证据表明,AI被用于提高攻击者的威胁等级。在我们分析的前六个月期间,33%的行为者被我们的风险评分系统评为中等风险或更高。但到后六个月,这一比例跃升至56%——大约增长了1.7倍。

在我们研究的整个时期内,攻击者对AI的使用从获取系统初始访问权限的技术,转向了进入系统后的活动。例如,使用AI进行账户发现(识别已攻破环境中的有效账户)增长了8.9%,而AI辅助的网络钓鱼(一种常见的获取系统访问权限的技术)下降了8.6%。这表明攻击者越来越多地在攻击生命周期的更深处应用AI。

这类“攻破后”技术过去只限于具备相应技术知识的行为者使用。我们的调查显示,AI现在可以被用来代表技术较低的行为者执行这些活动。

为什么评估行为者的威胁等级更困难了

安全团队如何评估网络攻击者的风险等级?传统上,他们使用诸如攻击者使用了多少种不同技术、使用了什么工具或接口等信息。但我们的分析表明,这些信号不再能准确描绘给定威胁行为者的风险等级。

既然AI可以代表行为者执行高技术任务,那么行为者的技能与他们使用的技术数量之间几乎没有相关性:我们数据集中技能最低的行为者平均使用约16种不同技术,而技能最高的则使用约20种。同样,使用的具体平台——Claude Code、API或聊天界面——也与行为者的风险等级无关。

通常有助于区分高风险行为者的因素是他们在攻击生命周期的哪个阶段使用AI。例如,他们将AI集中在操作要求更高的技术上——那些需要大量时间、监督或实时决策才能执行的技术——如账户发现、横向移动和权限提升,而不仅仅是那些允许他们获得系统初始访问权限的任务。

但即使是这个信号也在逐渐消失:正如上一节所述,这些操作技术正是更广泛的行为者群体正在走向的方向,因为有更多行为者被归类为高风险。更持久的区分因素是攻击者在模型周围构建的支撑结构的类型:高风险行为者设计的架构允许模型将网络攻击的各个离散阶段串联起来,并以最少的人工输入执行它们。

为什么安全框架需要改变

许多区分最高风险行为者的行为——例如使用AI顺序编排攻击链中的步骤、实时决策下一步做什么、以及无需人工干预执行——尚未被作为攻击者技术纳入MITRE ATT&CK框架。

以我们于2025年11月挫败的国家支持的网络间谍行动为例。在那个案例中,恶意行为者操纵Claude Code试图渗透全球目标,几乎无人干预。将其映射到MITRE ATT&CK框架显示,该行为者使用了30种技术,横跨13种战术,这与我们数据集中的许多中等风险行为者相当。显然,专注于该行为者使用的技术数量低估了他们真正的危险性(相比之下,将我们的风险评分方法应用于此攻击,其风险评分达到了最高的100分)。

在那次攻击中,模型作为自主智能体工作:它执行命令、利用漏洞、窃取凭证并做出战术决策,仅在少数关键时刻需要人工输入。目前没有针对这类智能体编排的ATT&CK ID——然而,随着AI智能体能力增强,这正是我们预期会更多看到的行为。

展望未来

本分析的结果帮助我们为模型构建了安全防护措施。例如,我们在最强大的模型上开发并部署了网络安全防护措施,以检测并阻止这里发现的一些活动,如开发恶意软件或大规模数据窃取。继与Verizon的合作之后,我们也在与MITRE讨论ATT&CK框架如何演变以涵盖我们观察到的AI驱动行为。

前沿模型正在迅速改变攻击者和防御者可用的工具。我们致力于帮助防御者领先于这些不断演变的战术,并首先将最强大的工具交到防御者手中。我们将继续分享从Project Glasswing、像我们在此收集的数据集以及我们的其他网络安全活动中所学到的经验。

在我们的Red博客文章中,我们分享了攻击者所用技术的交互式可视化,以帮助防御者领先于AI驱动的威胁。

阅读原文
📚 相关主题 安全研究

📬 订阅 AI Pulse

每天三次更新,不错过重要信号

▲ 回到顶部