夜雨聆风【导读】Anthropic 追踪了 832 个 AI 恶意账号整整一年,发现 67.3% 已把 AI 用于攻击准备,中高风险攻击者占比半年内从 33% 飙升到 56%。最值得警觉的是:AI 正在把旧战术自动化串联成连贯攻击链,防守方的反应窗口正在被压缩。
一个开发者的总结,戳中了安全圈的神经
2026 年 6 月 3 日,Anthropic 发布了一篇重磅研究:《What we learned mapping a year's worth of AI-enabled cyber threats》。
第二天,开发者 Deva 在 X 上回复 Anthropic 官方帖文,写了这样一段话:
"Most interesting data point buried in here: if AI enabled attacks still map onto established tactic frameworks, the defensive playbook isn't obsolete. It's running out of time. Kill chain compression is the actual threat, not novel attack categories."
「这里面最值得注意的数据点是:如果 AI 驱动的攻击仍然能映射到现有战术框架上,那防守手册还没有作废——但时间快不够用了。真正的威胁是攻击链压缩(Kill chain compression),而非全新的攻击类别。」
▲ 开发者 Deva 回复 Anthropic 官方帖文,提出「Kill chain compression is the actual threat」
这段话精准地抓住了 Anthropic 报告里最值得放大的信号。
需要说明的是,「kill chain compression」是 Deva 对报告结论的个人提炼,Anthropic 原文没有直接使用这个术语。但读完整份报告的数据和论证之后会发现,这个概括确实抓住了风险迁移的方向。
Anthropic 报告到底说了什么?
▲ Anthropic 官方发布《What we learned mapping a year's worth of AI-enabled cyber threats》
Anthropic 前沿红队(Frontier Red Team)的研究对象是832 个因恶意网络活动而被封禁的账号,时间跨度从 2025 年 3 月到 2026 年 3 月,整整一年。他们把这些账号的行为逐一映射到 MITRE ATT&CK 框架中,得出了三条核心结论:
第一,恶意行为者正在用 AI 让自己变得更危险,使用重心已经推进到网络攻击的后段、更复杂的操作阶段。
第二,网络攻击正变得更自主化。AI 能把攻击链的多个环节串起来,导致过去区分高低风险攻击者的方法开始失灵。
第三,MITRE ATT&CK 框架对 AI 驱动攻击者最危险的部分——编排、实时决策与低人工干预执行——覆盖不足。
三条结论合起来,指向同一个方向:AI 带来的安全风险升级,核心在于自动化编排能力。
数据有多触目惊心?
报告中有几组数字格外值得关注。
67.3%(560 / 832)的样本把 AI 用于攻击准备阶段,比如编写恶意软件。AI 已经深度嵌入攻击工作流本身。
6.5%(54 / 832)的样本已经把 AI 用到了横向移动(lateral movement)。这个比例看起来不高,但它出现在攻击链更靠后、更接近真实破坏力释放的位置——意味着 AI 已经在往内网深处渗透。
中高风险攻击者占比,半年内从 33% 跳到 56%,增幅约 1.7 倍。威胁在升级——越来越多攻击者已经能把 AI 用到过去只有高端攻击者才能触及的流程里。
还有一组更值得警惕的迁移数据:AI 对账户发现(account discovery)的使用上升了 8.9%,而 AI 辅助钓鱼(phishing)下降了 8.6%。
这直接打破了「AI 网络攻击 = 更会写钓鱼邮件」的刻板认知。AI 的使用重心正在从「拿到入口」转向「进门之后怎么推进」。
旧的威胁评估方法为什么开始失灵?
过去,安全团队评估攻击者风险时通常看两个信号:他用了多少种技术,以及他通过什么平台或接口来操作。
Anthropic 的数据显示,这两个信号都越来越不可靠。
报告指出,最低技能的攻击者平均使用了约 16 种不同技术,而最高技能的平均约 20 种。差距远没有大到能构成清晰分层。平台层面也一样——无论攻击者用的是 Claude Code、API 还是普通聊天界面,都无法可靠地和风险水平挂钩。
背后的逻辑变化在于:模型把一部分过去需要人工经验、脚本能力和多轮判断的工作「打包」了。低技能攻击者也能借助模型执行本来更靠后、更复杂的操作。
那该看什么指标?Anthropic 给出了一个更持久的判断维度——scaffolding(编排结构):
"The more durable differentiator is the type of scaffolding attackers build around the model."
「更持久、更可靠的区分指标,是攻击者围绕模型搭建的编排结构本身。」
高风险攻击者会围绕模型搭建架构,让模型把离散步骤串联起来,在极少人工输入下持续推进攻击。关键区分点已经从「他用了什么工具」转移到「他有没有把模型嵌进一套可连续推进攻击链的系统里」。
这意味着 AI 安全问题的重心,已经从「模型会不会回答危险问题」推进到了另一个层面——模型一旦被放进 tool-use、命令执行、凭证处理和决策循环里,它就可能被包装成一个近似自动驾驶的攻击工作流。
ATT&CK 框架:没有过时,但必须补课
▲ MITRE ATT&CK——全球安全社区广泛使用的对手战术与技术知识库
这个话题最容易被误读的地方,就是把结论简化成「MITRE ATT&CK 过时了」。Anthropic 的意思比这精确得多。
MITRE ATT&CK 的价值仍在——Anthropic 自己就是先用它做映射,才得出后续分析。框架仍然能准确描述「攻击者做了哪些动作」。
问题出在另一层:AI 驱动攻击者最危险的地方,越来越体现在「这些动作如何被串联、调度、自动决策并低人工执行」,而这是一种高于单个 technique 的编排行为。
Anthropic 举了一个极具说服力的案例:2025 年 11 月,他们阻断了一起国家级网络间谍行动(state-sponsored cyber espionage operation)。按 ATT&CK 映射,它覆盖了30 个 techniques、13 个 tactics,看上去和不少中等风险行为者差不多。但按 Anthropic 自己的风险评分方法,它拿到了满分 100。
为什么差距这么大?
因为在这个案例里,模型以 autonomous agent 的方式工作——执行命令、利用漏洞、窃取凭证、做战术决策,只在少数关键节点需要人工输入。
"There is no ATT&CK ID for this type of agentic orchestration—yet these are precisely the behaviors we expect to see much more of as AI agents become more capable."
「这类 agentic orchestration 还没有对应的 ATT&CK 编号——但随着 AI agents 能力提升,这正是预期会越来越多出现的行为。」
「覆盖多少 techniques」已经无法充分表达「这些 techniques 是被怎样编排起来的」。ATT&CK 还能描述动作层,但对编排层、代理层、连续决策层的覆盖需要补上。旧框架没有报废,但必须加一层面向 agent orchestration 的理解。
Verizon DBIR:行业侧的独立确认
▲ Verizon 2026 年数据泄露调查报告(DBIR)把 AI-augmented attacks 列为重点议题
Anthropic 的发现并非孤例。Verizon 2026 DBIR 官方页明确把「AI-augmented attacks」列为年度重点之一:
"Threat actors are using AI to work faster at every stage—from spotting security gaps to writing malware."
「威胁行为者正在利用 AI 加速每一个阶段的工作——从发现安全漏洞到编写恶意软件。」
Verizon 从更宏观的数据泄露与防御角度提供了行业级确认:AI 加速攻击全流程,已经是安全行业主流报告中的共识。Anthropic 的发现有独立的行业佐证。
防守方面对的,是一场时间差危机
回到 Deva 那句判断——
"The defensive playbook isn't obsolete. It's running out of time."
「防守手册还没作废,但时间快不够用了。」
这可能是对当前局面最到位的概括。
防守方面对的,并非一个从未见过的攻击物种。ATT&CK 矩阵上没有突然长出一列陌生战术。真正在发生的是:同一张矩阵上的老动作,正在被 AI agent 化地连成闭环——攻击链更短,执行更快,人工需求更低。
这带来几个直接后果:
- 攻击门槛下降
:过去只有熟练操作者才能稳定推进的后渗透动作,现在部分可由模型代劳。 - 攻击速度上升
:从发现漏洞、写脚本、枚举账户到横向移动,不再需要同样多的人手切换。 - 攻击连续性增强
:一个阶段的输出更容易直接喂给下一个阶段,形成流水线式推进。 - 风险识别变难
:从「用了多少技术、用了什么工具」来判断威胁等级,只会越来越不准。
「Kill chain compression」的危险性在于,它在实质上压缩了防守方的反应窗口。蓝队过去围绕攻击链长度、人工介入节点、阶段切换间隔建立的大量假设,正在被缩短、抹平或绕开。
防守体系未必需要推倒重来,但必须接受一个现实:熟悉的战术集合正在被模型和 agent scaffold 重新组合。当攻击链的每个环节都可以被自动衔接,留给防守方检测和响应的窗口,只会越来越小。
— END —
