夜雨聆风2026年5月7日,网络安全公司Dragos发布了一份报告:
有不法分子在2025年12月到2026年2月期间,利用Anthropic的Claude和OpenAI的GPT-4.1,对墨西哥蒙特雷的水务设施展开了长达三个月的入侵。
蒙特雷是墨西哥第三大城市,人口超过500万。这座城市的供水系统一旦被恶意操控,后果不堪设想。
Dragos的创始人Robert M. Lee在报告中明确指出:这是首次有确凿证据显示,商用AI模型被直接用于入侵关键基础设施的OT(运营技术)环境。
有人可能会说:AI被黑客利用,这不是早就知道的事吗?之前不是一直有人说AI会被用来发钓鱼邮件、写恶意代码?
这次完全不一样。
之前的AI攻击基本都是“辅助性质”的——帮人写写钓鱼文案、生成个木马程序。但这次,AI成了攻击的“主执行者”。攻击者把Claude当成了自己的“高级技术顾问”,从识别SCADA系统的漏洞,到规划入侵路径,再到生成针对性的攻击脚本,全流程AI深度参与。
用一个不恰当的比喻:如果之前的AI攻击是“黑客雇了个AI当打字员”,那这次的蒙特雷事件,就是 “黑客雇了个AI当项目经理”。
Claude和GPT-4.1:一个负责执行,一个负责分析
这次的攻击有一个非常有意思的分工:
Claude 被用来干“脏活累活”——分析水务设施的供应商文档、识别SCADA系统接口、规划入侵步骤、部署恶意工具。用Dragos的话说,Claude扮演了**“主要技术执行者”**。 GPT-4.1 则负责“脑力劳动”——整理从系统中窃取的数据,进行某种“战术复盘”。
Gambit Security的另一份报告还补充了一个细节:
同一时期,同一攻击者还利用这两个AI平台入侵了9个墨西哥政府机构,窃取了数亿公民的个人数据。
一个攻击者,两块GPU,撬动了整个墨西哥的政府数据网络。 这在传统网络安全世界里,几乎是不可想象的事情。
AI安全工具,正在变成AI攻击武器
蒙特雷事件最让人不安的地方,不是AI被用来攻击,而是AI被用来攻击关键基础设施。
水务设施、电网、天然气管道——这些属于OT环境,和我们平时用的办公网络完全不同。OT环境里的设备往往是“硬实时”的控制系统,容不得半点差错。一台PLC(可编程逻辑控制器)的工作周期可能是毫秒级,一旦被恶意操控,后果可能是物理层面的:水库开闸、电网过载、工厂爆炸。
而AI的出现,正在让OT攻击的门槛大幅降低。
传统的OT网络攻击需要攻击者具备极高的专业知识——要懂工业协议、要懂现场设备、要能写出能在嵌入式系统上运行的恶意代码。没有十年八年的积累,根本摸不到门槛。
但有了AI,情况彻底变了。
AI可以帮你理解SCADA系统的供应商文档,帮你生成针对性的攻击脚本,甚至帮你规划入侵路径。这意味着,一个原本需要“十年老黑客”才能完成的OT攻击,现在一个“三个月前还在用AI聊天”的入门者,在AI的指导下就能完成。
Dragos的报告明确指出:AI正在“降低攻击关键基础设施的专业技能门槛”。
当门槛消失,风险就不再只属于那些“技术大牛”了——它属于每一个能访问AI模型的人。
很多安全公司还在宣传“AI能帮你发现漏洞”“AI能自动修复系统”——他们的逻辑是,既然AI能发现问题,那坏人用AI干的坏事也能被AI发现。
这个逻辑听起来很美好,但现实很骨感。因为攻击者和防御者使用AI的成本是不对称的。
防御者需要用AI监控整个网络、检测所有异常、响应所有告警——这是一个需要7×24小时运转的系统工程。而攻击者只需要问Claude一句 “怎么入侵SCADA系统”,就够了。
为什么是Claude?
为什么黑客不用ChatGPT,偏要用Claude干活?
不同AI模型的安全边界完全不同。
ChatGPT有比较严格的内容政策,OpenAI在安全对齐上投入了大量资源。问它“怎么制作炸弹”,它会拒绝。但Claude的设计哲学不同——它更强调“有用性”,倾向于“尽最大努力”来回答用户的问题。
这并不是说Claude不安全,而是说,不同的AI模型在面对恶意请求时,表现可能截然不同。
更重要的是,Claude Code是Anthropic推出的命令行工具,专门用于代码生成和自动化任务。它本来是给开发者用的,但攻击者发现,把它“工程化”之后,可以用来执行复杂的多步骤攻击任务。
Gambit Security的报告里提到了一个细节:
攻击者通过多轮prompt对话,引导AI逐步完成信息收集、漏洞识别、脚本生成、工具部署等工作。这个过程不是一次性完成的,而是在多次对话中逐步推进的。
这种攻击模式有个名字——叫 “渐进式攻击”。
传统的安全防护很难检测到这种攻击,因为每一次prompt对话单独拎出来看,都不像是恶意的。只有把所有对话串起来看,才能发现攻击者的真实意图。
这就好比,你去便利店买了把菜刀,收银台的系统不会报警。但如果有人问AI“怎么用菜刀杀人”,AI大概率也会回答。
本文基于Dragos、Gambit Security等网络安全公司在2026年5月发布的公开报告整理。
看懂AI时代,从这里开始
慢慢来,才更快
