文章总结： 亚马逊安全团队披露，一名黑客在2026年1月至2月间，利用生成式AI辅助开发的自动化工具，针对全球暴露在互联网上的FortiGate防火墙管理接口发起大规模攻击。攻击者通过扫描端口和暴力破解弱密码，在五周内成功入侵55个国家的600多台设备，窃取了包括VPN凭据、网络拓扑在内的敏感配置信息。攻击具有机会主义特征，主要针对防护薄弱的目标，其AI生成的工具在复杂环境中表现不佳。报告警示了结合AI自动化与基础安全缺陷（如弱密码、缺乏多因素认证）所带来的现实威胁。 综合评分： 78 文章分类： 威胁情报,网络安全,渗透测试,AI安全,漏洞预警

亚马逊：黑客借助生成式AI五周攻陷全球600台防火墙

安全学习那些事儿

2026年2月23日 07:07 陕西

2026年2月22日，亚马逊近日发出安全警告称，一名黑客在短短五周内，借助多种生成式AI服务，对Fortinet FortiGate防火墙发动大规模入侵行动，在55个国家成功攻陷了600余台设备。

马逊集成安全部门首席信息安全官CJ Moses 在最新报告中披露，这轮攻击发生在2026年1月11日至2月18日之间，攻击者并未利用零日漏洞，而是集中针对暴露在互联网上的FortiGate管理接口，结合弱密码和缺失多因素认证的账号实施入侵，并进一步利用AI自动化突破受害网络中的其他设备。 报告显示，这些被攻陷的防火墙分布在南亚、拉美、加勒比地区、西非、北欧和东南亚等多个区域，目标选择具有明显机会主义特征，而非锁定特定行业。

亚马逊表示，其安全团队在发现一台用于投放恶意工具、专门攻击 FortiGate防火墙的服务器后，顺藤摸瓜揭开了这次行动的整体框架。 黑客首先通过扫描443、8443、10443和 4443等端口，寻找暴露在公网的 FortiGate管理接口，然后通过常见弱密码进行暴力破解获取访问权限，而非利用FortiGate相关的已知或未知漏洞。

在成功入侵设备后，攻击者会导出设备配置文件，从中获取SSL-VPN用户凭据(含可恢复密码)、管理账号、访问控制策略及内部网络架构、IPsec VPN配置、网络拓扑与路由信息等关键数据。 这些配置文件随后被工具解析和解密，而这些工具的源码显示出明显的 AI辅助开发痕迹，例如用 Python和Go编写的自定义侦察程序中出现冗余注释、架构简单但在格式上投入过多精力、采用字符串匹配而非规范JSON反序列化、以及为语言内置功能编写兼容层却留有空文档等特征。 亚马逊指出，这些工具勉强能满足攻击者的特定需求，但在复杂或加固良好的环境中往往会失效，缺乏健壮性，这也是典型“未经深入打磨的AI生成代码”的表现。

这些自动化工具被用于对已入侵网络进行深入侦察，包括分析路由表、按规模归类网络、使用开源gogo扫描器进行端口扫描、识别SMB主机和域控制器、并借助Nuclei工具寻找HTTP服务和潜在漏洞。 调查人员发现，当攻击者碰到打补丁及时或已严格加固的系统时，频繁尝试仍无法突破，便会放弃这些目标，转而寻找更为脆弱的系统下手。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《亚马逊：黑客借助生成式AI五周攻陷全球600台防火墙》