来源: Disrupting the first reported AI-orchestrated cyber espionage campaign \ Anthropic
我们最近提出,网络安全领域已迎来一个转折点:人工智能模型已真正应用于网络安全行动,既能带来积极影响,也能造成恶意攻击。这一观点基于系统性评估,评估结果显示网络能力在六个月内翻了一番;此外,我们还追踪了现实世界中的网络攻击,观察恶意行为者如何利用人工智能能力。虽然我们预测这些能力会持续发展,但令我们印象深刻的是,它们发展的速度之快,规模之大。
2025年9月中旬,我们检测到可疑活动,后经调查确定这是一场高度复杂的间谍活动。攻击者以前所未有的程度利用了人工智能的“代理”能力——不仅将人工智能用作顾问,而且还利用人工智能亲自执行网络攻击。
我们高度确信此次攻击行为者是一个中国政府支持的组织。该组织利用我们的Claude Code工具,试图渗透到全球约30个目标系统中,并在少数案例中成功入侵。此次行动的目标包括大型科技公司、金融机构、化工制造企业和政府机构。我们认为,这是首例在几乎没有人为干预的情况下实施的大规模网络攻击案例。
发现此项活动后,我们立即展开调查,以了解其范围和性质。在接下来的十天里,我们逐步摸清了此次行动的严重程度和全部范围,并根据情况封禁了相关账户,通知了受影响的实体,同时与有关部门协调,收集可采取行动的情报。
此次行动对人工智能“代理”时代的网络安全具有重大意义。人工智能代理是指能够长时间自主运行并基本无需人工干预即可完成复杂任务的系统。代理对日常工作和生产力至关重要,但如果落入不法分子之手,它们会大大增加大规模网络攻击的可能性。
这些攻击的有效性很可能会不断增强。为了应对这种快速演变的威胁,我们扩展了检测能力,并开发了更先进的分类器来标记恶意活动。我们正在持续研究新的方法,以调查和检测此类大规模分布式攻击。
与此同时,我们公开分享此案例,旨在帮助业界、政府部门以及更广泛的研究界加强自身的网络安全防御。我们将继续定期发布此类报告,并对我们发现的威胁保持透明。
网络攻击是如何运作的
这次攻击利用了人工智能模型的几个特性,而这些特性在一年前还不存在,或者还处于非常初级的阶段:
- 智能。 模型的整体能力水平已经提升到能够执行复杂指令并理解上下文的程度,从而完成非常复杂的任务。不仅如此,它们的一些成熟技能——尤其是软件编码——也使其能够被用于网络攻击。
- 代理性 。模型可以作为代理运行——也就是说,它们可以在循环中运行,自主采取行动,将任务串联起来,并在极少、偶尔的人工干预下做出决策。
- 工具 。模型可以访问各种各样的软件工具(通常通过开放标准的模型上下文协议)。它们现在可以搜索网络、检索数据,并执行许多其他以前只能由人工操作员执行的操作。在网络攻击的情况下,这些工具可能包括密码破解器、网络扫描器和其他安全相关的软件。
下图展示了攻击的不同阶段,每个阶段都需要上述所有三个步骤:
在第一阶段,操作人员选择相关目标(例如,要渗透的公司或政府机构)。然后,他们开发了一个攻击框架——一个旨在几乎无需人工干预即可自主攻破选定目标的系统。该框架使用 Claude Code 作为自动化工具来执行网络攻击。
此时,他们必须说服克劳德——一个经过严格训练以避免恶意行为的系统——参与攻击。他们通过破解系统,有效地诱骗它绕过自身的安全防护措施。他们将攻击分解成看似无害的小任务,让克劳德在不了解其恶意目的的情况下执行。他们还告诉克劳德,它是一家合法网络安全公司的员工,正在参与防御测试。
攻击者随后启动了攻击的第二阶段,即由克劳德代码(Claude Code)对目标组织的系统和基础设施进行检查,并找出最具价值的数据库。克劳德完成这项侦察任务所需的时间仅为人工黑客团队所需时间的几分之一。之后,它将调查结果汇总报告给人工操作员。
在攻击的后续阶段,Claude 通过研究和编写自己的漏洞利用代码,识别并测试了目标组织系统中的安全漏洞。之后,该框架利用 Claude 窃取凭证(用户名和密码),从而获得进一步的访问权限,并提取大量私有数据,并根据其情报价值进行分类。攻击者识别出最高权限账户,创建后门,并在极少人工干预的情况下窃取数据。
在最后阶段,攻击者让克劳德制作了攻击的全面文档,创建了被盗凭证和分析系统的有用文件,这将有助于该框架规划威胁行为者网络行动的下一阶段。
总体而言,攻击者利用人工智能完成了80-90%的攻击任务,仅需偶尔进行人工干预(每次攻击活动中可能只有4-6个关键决策点)。人工智能完成的如此庞大的工作量,如果交给人类团队,将耗费大量时间。人工智能每秒发出数千个请求——这种攻击速度对于人类黑客来说根本无法企及。
克劳德并非总是完美无缺。它偶尔会错误地获取凭证,或者声称提取了实际上公开的机密信息。这仍然是实现完全自主网络攻击的一大障碍。
网络安全影响
实施复杂网络攻击的门槛已大幅降低,而且我们预测这种趋势还将继续。只要配置得当,攻击者现在就可以利用智能人工智能系统长时间执行相当于整个经验丰富的黑客团队的工作:分析目标系统、编写攻击代码,并比任何人类操作员更高效地扫描海量窃取信息数据集。经验和资源较少的组织现在也有可能发动此类大规模攻击。
这次攻击甚至比我们今年夏天报道的“Vibe Hacking”事件还要严重:在那些事件中,人仍然深度参与并指挥着整个行动。而这次攻击规模更大,但人为干预的频率却低得多。虽然我们目前只能观察到Claude的使用情况,但这个案例研究可能反映了前沿人工智能模型中普遍存在的行为模式,并展示了威胁行为者如何调整其行动以利用当今最先进的人工智能功能。
这就引出了一个重要问题:如果人工智能模型可以被如此大规模地滥用于网络攻击,为什么还要继续开发和发布它们?答案是,正是Claude能够被用于此类攻击的能力,也使其对网络防御至关重要。当复杂的网络攻击不可避免地发生时,我们的目标是让Claude——我们为其构建了强大的安全防护措施——协助网络安全专业人员检测、阻止并为未来版本的攻击做好准备。事实上,我们的威胁情报团队在本次调查中广泛使用了Claude来分析海量数据。
网络安全领域已发生根本性变革。我们建议安全团队尝试将人工智能应用于安全运营中心自动化、威胁检测、漏洞评估和事件响应等领域的防御。我们也建议开发人员继续加大对人工智能平台安全防护的投入,以防止恶意滥用。上述技术无疑将被更多攻击者利用,因此,行业威胁信息共享、改进检测方法和加强安全控制显得尤为重要。
个人点评:
习主席怎么总想搞别人的后门呢
二评:
疑似炒作,在没有更多证据公布前视为炒作狗