夜雨聆风
作者: Anthropic 安全团队
日期: 2026 年
原文链接:https://www.anthropic.com/research/mapping-ai-cyber-threats
译者: 工程师饭团
随着 AI 改变网络攻击的本质与手段,安全社区长期依赖的技术框架还能跟上吗?
在一份新报告中,我们试图回答这个问题。我们研究了 2025 年 3 月至 2026 年 3 月间因恶意网络活动被封禁的 832 个账号,并将其映射到 MITRE ATT&CK——一个记录网络攻击者战术与技术的权威数据库。部分结果已发布于 Verizon 的《2026 年数据泄露调查报告》(DBIR),此处我们分享更详细的分析。这 832 个案例只是该时期被封禁账号的一个子集,但它们是我们掌握足够细节、能够对攻击者技术进行全面评估的案例。
分析得出三个主要结论:
1.恶意行为者正在以让自身更危险的方式使用 AI——具体而言,威胁行为者将 AI 用于网络行动后期、更复杂的阶段。
2.网络攻击正变得越来越自主,AI 能够将攻击的多个环节串联起来,这意味着过去用于区分高低风险行为者的方法已不再有效。
3.MITRE ATT&CK 框架尚未完整捕捉那些让 AI 驱动的攻击者如此危险的工具和活动。
一、AI 如何让攻击者更危险
在我们的数据库中,最常见的 AI 辅助活动与攻击准备阶段相关,例如编写恶意软件(832 个账号中有 560 个,即 67.3% 将 AI 用于此目的)。少数行为者将 AI 用于更复杂的活动——例如,832 个行为者中有 54 个(6.5%)使用 AI 辅助“横向移动”,即在已入侵的网络内部深入导航。
我们发现了与 AI 提升攻击者威胁等级相符的证据。在分析的第一个六个月,我们的风险评分系统将 33% 的行为者归类为中等风险或更高。但到第二个六个月,这一比例跳升至 56%——增长了约 1.7 倍。
在整个研究期间,攻击者使用 AI 的重心从获取系统初始访问权限的技术,转向了进入系统内部后的活动。例如,AI 辅助账号发现(在已入侵环境中识别有效账号)的使用率上升了 8.9%,而 AI 辅助网络钓鱼(一种获取系统访问权限的常见技术)则下降了 8.6%。这表明攻击者正越来越多地将 AI 应用于攻击生命周期的更深处。
这类“入侵后”技术过去只有具备相应技术知识的行为者才能实施。我们的调查表明,AI 现在可以代表技术能力较弱的行为者执行这些活动。
二、为什么评估威胁等级变得更难
安全团队如何评估网络攻击者的风险等级?传统上,他们使用的信号包括:攻击者使用了多少种不同技术、使用了哪些工具或界面。但我们的分析表明,这些信号已不再能准确描绘特定威胁行为者的风险等级。
由于 AI 可以代表行为者执行高度技术性的任务,威胁行为者的技能水平与其使用技术的数量之间几乎没有相关性:数据集中技能最低的行为者平均使用约 16 种不同技术,而技能最高的仅使用约 20 种。同样,使用的具体平台——Claude Code、API 还是聊天界面——也与行为者的风险等级无关。
真正有助于区分高风险行为者的,是他们在攻击生命周期的哪个阶段使用 AI。高风险行为者将 AI 集中用于操作要求更高的技术——那些需要大量时间、监督或实时决策才能执行的技术,如账号发现、横向移动和权限提升——而不仅仅是用于获取初始访问权限的任务。
但即便是这个信号也在迅速消退:正如上一节所述,随着越来越多的行为者被归类为高风险,整体人群正朝着这些操作性技术的方向发展。更持久的区分标志是:攻击者围绕模型构建的脚手架类型——高风险行为者设计的架构,能让模型将网络攻击的各个独立阶段串联起来,以极少的人工干预自主执行。
三、为什么安全框架需要改变
许多区分最高风险行为者的行为——例如使用 AI 按顺序编排攻击链中的步骤、实时决定下一步行动、无需人工干预地执行——目前尚未被纳入 MITRE ATT&CK 框架的攻击者技术中。
以我们在 2025 年 11 月挫败的国家支持的网络间谍行动为例。在那次事件中,一个恶意行为者操控 Claude Code,以极少的人工干预,尝试渗透全球各地的目标。将其映射到 MITRE ATT&CK 框架后,该行为者在 13 个战术类别中使用了 30 种技术——与我们数据集中许多中等风险行为者相当。显然,仅关注该行为者使用的技术数量,严重低估了其真实危险程度(相比之下,将我们的风险评分方法应用于此次攻击,得分为满分 100 分)。
在那次攻击中,模型作为自主 Agent 运作:它执行命令、利用漏洞、窃取凭证、做出战术决策,只在少数关键时刻需要人工输入。目前没有任何 ATT&CK ID 对应这种类型的 Agentic 编排——然而,随着 AI Agent 能力不断增强,这些正是我们预期将大量涌现的行为。
四、展望
这项分析的发现为我们在模型中构建的安全措施提供了参考。例如,我们已在最强大的模型上开发并部署了网络安全防护措施,用于检测和阻止此处发现的部分活动,如开发恶意软件或大规模数据泄露。在与 Verizon 合作之后,我们也正在与 MITRE 讨论 ATT&CK 框架如何演进,以纳入我们观察到的 AI 驱动行为。
前沿模型正在迅速改变攻击者和防御者手中的工具。我们致力于帮助防御者在这些不断演变的战术面前保持领先,并将最强大的工具优先交到防御者手中。我们将继续分享从 Project Glasswing、从此处收集的数据集以及其他网络安全活动中学到的经验。
总结
✅ AI 正在武装低技能攻击者:过去只有高技能行为者才能实施的“入侵后”技术,现在借助 AI 可以被任何人执行——中等风险以上行为者比例在一年内从 33% 跳升至 56%。
✅ 传统风险评估信号已失效:技术使用数量、平台类型不再能区分高低风险行为者;真正的区分标志是攻击者在攻击链哪个阶段使用 AI,以及他们如何构建自主编排架构。
✅ 攻击重心从“入门”转向“深入”:AI 辅助账号发现上升 8.9%,AI 辅助网络钓鱼下降 8.6%——攻击者正将 AI 推向攻击生命周期的更深处。
✅ MITRE ATT&CK 框架存在盲区:Agentic 编排——模型自主串联攻击步骤、实时决策、无需人工干预——目前没有对应的 ATT&CK ID,但这正是未来威胁的核心形态。
✅ 防御侧需要同步升级:Anthropic 已与 Verizon 合作发布数据,并正与 MITRE 讨论框架更新——安全行业的响应速度,决定了防御者能否跟上这场军备竞赛。
AI 不只是让攻击更快——它正在让攻击更深、更自主、更难被现有框架识别。防御者需要的,不只是更好的工具,而是一套全新的思维框架。 |
本文由工程师饭团翻译整理,转载请注明出处。
