文章总结： 本文解析CrowdStrike《2026全球威胁报告》，指出网络威胁已步入智能体时代，2025年为逃避型攻击者之年。平均突破时间缩短至29分钟，82%攻击无恶意软件。AI赋能攻击增长89%，社会工程学提升109%。边界设备与云身份安全面临严峻挑战，防御方需具备自动化能力应对机器速度攻击。 综合评分： 80 文章分类： 威胁情报,AI安全,云安全,网络安全,漏洞预警

AI 简讯｜新春专辑：解析CrowdStrike《2026全球威胁报告》

山石网科 山石网科

山石网科新视界

2026年3月9日 14:01 北京

AI赋能网安创新

本期简报深度解析CrowdStrike最新发布的《2026年全球威胁报告》。该报告系统性地回顾了2025年全球网络威胁的演进，明确指出我们已正式步入“智能体时代”（Agentic Era）。在该时代下，AI不仅被深度嵌入到企业的业务流中，也成为了攻击者实现“机器速度”突破的核心引擎。2025年被定义为“逃避型攻击者之年”，攻击手段从依赖恶意软件转向了对身份、云环境及边界设备的深度渗透。

1. 2026年全球威胁态势深度分析

“机器速度”下的突破时间再创新低

2025年，网络犯罪（eCrime）的攻击速度呈现出爆发式增长。报告显示，平均突破时间（Breakout Time，即攻击者从获得初始访问权限到在环境内实施横向移动的时间）已从2024年的48分钟大幅缩短至2025年的29分钟，降幅高达65%。在一些极端案例中，攻击者的突破速度甚至达到了惊人的27秒。这种速度的提升主要归功于AI驱动的自动化侦察和攻击路径优化。

“无恶意软件”与信任关系的滥用

防御技术的升级逼迫攻击者转向更具隐蔽性的“逃避型”战术。2025年，高达82%的攻击行为属于“无恶意软件”（Malware-free）攻击。攻击者不再倾向于投放易被扫描的病毒文件，而是利用合法的凭证、系统内置工具（Living off the Land）以及企业内部各级供应商、SaaS集成、甚至是员工之间的“信任关系”来执行任务。这种战术使得传统的基于签名的防御手段几乎失效。

2. AI赋能：攻击链的全面进化与新风险

攻击全生命周期的AI加持

报告指出，2025年AI赋能的攻击者数量同比增加了89%。AI对攻击链的提升主要体现在以下两个关键阶段：

• 社会工程学阶段（增长109%）：攻击者利用生成式AI进行精准的自动化侦察，并制作极具迷惑性的多语言钓鱼内容。例如，“RENAISSANCE SPIDER”等组织利用AI将诱饵完美翻译成特定语种，极大地提高了欺骗成功率。此外，深度伪造（Deepfake）音视频在诈骗和身份绕过中的应用也显著增加。
• 执行与防御规避阶段（增长134%）：这是增长最显著的环节。攻击者利用AI编码助手（如GitHub Copilot的变体或非法工具WormGPT）快速生成、混淆恶意脚本，并利用AI自动寻找防御系统的盲区进行规避。

针对AI系统本身的新型威胁

随着企业在开发管线和SaaS平台中嵌入AI代理（AI Agents），AI系统本身已成为新的攻击面。报告记录了攻击者利用恶意提示词注入（Prompt Injection）来篡改AI指令的案例，通过这种方式，攻击者可以利用合法的AI工具执行未授权的命令或窃取敏感数据。这意味着，网络安全已演变为保护AI基础设施本身的安全。

地下社区对AI模型的偏好趋势

黑客论坛对大语言模型（LLM）的讨论呈现爆发式增长。其中，ChatGPT的提及频率最高（比其他所有模型高出550%），其次是Gemini、Claude、Grok以及DeepSeek等。虽然地下存在专门微调的恶意模型（如WormGPT），但大多数攻击者仍倾向于研究如何绕过商业大模型的安全对齐策略来辅助其犯罪活动。

3. 边界设备、云端与身份的安全挑战

互联网边界设备成为“攻坚点”

2025年，针对面向互联网的边界设备（如防火墙、VPN网关、负载均衡器等）的入侵活动显著增加。特别是具有特定背景的攻击组织，其中有约40%的入侵尝试是直接针对这些设备的已知或零日漏洞。报告强调，这些漏洞在披露后的几天内甚至几小时内就会被迅速“武器化”，其中67%的受利用漏洞具有远程代码执行（RCE）能力。

云环境下的身份危机

云意识（Cloud-conscious）入侵事件上升了37%。在云端，身份（Identity）已经取代了传统的网络边界成为攻击的核心。约35%的云安全事件源于对合法账号的滥用。攻击者（如SCATTERED SPIDER）非常擅长利用混合身份解决方案中的漏洞，在本地活动目录与云端（如Entra ID）之间进行横向移动。

智能体时代的自动化防御需求

由于攻击者已实现“机器速度”，报告认为防御方必须具备同等的自动化能力。单一的、轻量级的平台架构以及具备实时推理能力的AI安全大脑，已成为对抗2026年及以后威胁的基石。

• 手握数据金矿，为何抓不住 AI 增长机遇？
• 山石安全能力中心｜青龙面板未授权RCE漏洞通告
• AI 简讯｜重要AI事件

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山石网科新视界 山石网科 山石网科《AI 简讯｜新春专辑：解析CrowdStrike《2026全球威胁报告》》