2026-04-10 02:44:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： SpyCloud2026年身份暴露报告显示非人类身份盗窃激增，攻击目标从传统凭证转向API密钥、会话令牌等机器身份。报告发现1810万个API密钥暴露、86亿会话被盗，网络钓鱼攻击增长400%，且超半数恶意软件感染发生在已部署安全工具的终端。建议企业需超越基础防护，建立持续监控与自动化修复机制以应对复合身份威胁。 综合评分： 85 文章分类： 威胁情报,数据安全,应用安全,网络安全,漏洞分析

cover_image

非人类身份盗窃爆炸式增长

数世咨询

2026年4月7日 16:01 河北

点亮上方「★星标」更多干货内容，不再错过！

本文关键看点：

#01

攻击者不再只是针对凭证，他们的目标正在针对访问认证，包括API密钥、会话令牌和自动化证书；

#02

86 亿被盗cookie和session伪造显示，攻击者持续专注于绕过传统认证防护的会话劫持技术；

#03

安装了EDR或杀毒工具的端点依然会被恶意软件感染，这进一步证明了单靠端点控制无法防止身份盗窃。

▍以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

最新报告强调了暴露的API密钥、会话令牌和机器身份等的激增。SpyCloud，身份威胁保护领域的领导者，今天发布了其年度 2026年身份暴露报告，这是对在犯罪地下网络中流通的被盗凭证和身份暴露数据的最全面分析之一，突显了非人类身份（NHI）暴露的急剧扩展。

去年，SpyCloud在其重新捕获的身份数据湖中看到增长了23%，目前总计657亿个独特身份记录。报告显示，攻击者越来越多地针对机器身份和经过身份验证的会话工件，而不仅仅是传统的用户名和密码组合及个人可识别信息（PII）。

“我们正在目睹身份被利用的结构性转变，”SpyCloud首席情报官Trevor Hilligoss表示。“攻击者不再仅仅针对凭证。他们正在窃取经过身份验证的访问权限，包括API密钥、会话令牌和自动化凭证，并利用这些访问权限加快行动、保持持续性，并在云和企业环境中扩展攻击。”

2026年身份暴露报告的主要发现：

非人类身份现在是核心攻击面

SpyCloud在2025年重新捕获了1810万个暴露的API密钥和令牌，涵盖支付平台、云基础设施提供商、开发者生态系统、协作工具和AI服务。

报告还识别出620万个与AI工具相关的凭证或身份验证Cookie，反映了企业对AI平台的快速采用及其相关的机器访问路径的扩展。

与人类凭证不同，这些NHI通常缺乏多因素认证（MFA）的强制执行，更新频率低，并且具有广泛的权限。一旦暴露，它们可以为攻击者提供对生产系统、软件供应链和云基础设施的持久访问。

网络钓鱼是企业威胁

SpyCloud在2025年重新捕获了2860万个被钓鱼的身份记录。值得注意的是，近一半的身份是企业用户，这进一步强调了网络钓鱼仍然是一个持续的企业威胁。

这一趋势与SpyCloud的研究一致，显示成功的网络钓鱼攻击同比激增400%。结果清楚地警告企业：他们的员工现在比被信息窃取恶意软件更容易受到网络钓鱼攻击的威胁，是三倍之多。

现代网络钓鱼数据集越来越多地包含不仅仅是凭证。许多数据还包括会话Cookie、身份验证令牌和MFA工作流数据，允许攻击者在不触发传统警报的情况下假设经过身份验证的会话。随着越来越多的恶意行为者利用AI来制作更真实的诱饵和自动化活动，这个问题不会很快消失，企业安全团队必须超越员工培训，采取更真实的预防措施。

会话盗窃和MFA绕过持续扩大

SpyCloud重新捕获了86亿个被盗的Cookie和会话工件，这些工件通过恶意软件感染暴露，显示出攻击者继续专注于绕过传统身份验证保护的会话劫持技术。同时，SpyCloud对地下组合列表的分析发现，51%的记录与先前观察到的信息窃取者日志重叠，这表明犯罪分子越来越多地重新包装恶意软件提取的数据，而不仅仅依赖于新鲜的泄露信息。

过去一年中，公共报告记录了多个利用中间人攻击（AitM）网络钓鱼工具和会话重放技术的MFA绕过活动，包括针对通过被盗身份验证令牌的Microsoft 365环境的活动。

2026年3月4日，欧洲刑警组织宣布与微软及其他私人组织合作，执行了一次协调的Tycoon 2FA的扣押行动——这是一个主要的网络钓鱼即服务基础设施，能够通过AitM技术实现广泛的MFA绕过，并显著破坏其运营能力。SpyCloud支持了全球的干扰工作，通过提供来自犯罪地下来源的受害者身份情报和操作分析。最近的行动突显了网络钓鱼的工业化及会话工件在攻击者工作流中的日益重要性。

恶意软件继续提取身份数据

尽管网络钓鱼的兴起，信息窃取恶意软件仍然是身份暴露的重要贡献者，使攻击者能够从受感染设备中收集凭证、Cookie和身份验证令牌。SpyCloud在2025年重新捕获了超过6.424亿个暴露的凭证，源自1320万次信息窃取恶意软件感染。这意味着每次恶意软件感染平均暴露了50个用户凭证——进一步扩展了恶意行为者可利用的入口点。

相当一部分感染发生在安装了EDR或防病毒工具的终端上，进一步强调仅凭终端控制不足以防止身份盗窃。

凭证暴露仍然高企，密码卫生差

SpyCloud重新捕获了53亿个凭证对——由用户名或电子邮件地址和密码组成的被盗凭证。

在暴露的企业凭证中，80%包含明文密码，显著降低了立即账户接管攻击的门槛。再次，流行文化、体育和短数字串相关的可预测模式继续被广泛使用。热门密码包括：

67 / sixseven: 1.404亿
sweet / cookie / candy / cake / pie: 570万
chiefs / kansas city chiefs: 500万
2025: 410万
apple / banana / orange / strawberry / fruit: 260万

密码重用依然普遍，报告还识别出110万个密码管理器主密码在地下来源流通，令人担忧的是当主凭证薄弱时，可能导致保险库级别的泄露。

扩展的身份暴露面

2026年的报告强调了身份威胁的中心转变，并强调了在人工和机器身份之间持续进行身份威胁保护的必要性。攻击者正在结合泄露的数据、网络钓鱼捕获、恶意软件日志、会话令牌和机器凭证，构建复合身份档案，推动从会话劫持和勒索软件到供应链妥协的各种攻击。

随着组织加速云采用并在工作流程中嵌入AI工具，机器身份正深度融入关键系统。这些凭证和身份验证令牌的盗窃可能在单个账户被攻陷的基础上产生下游的涟漪效应。

“挑战不仅仅是阻止网络钓鱼或恶意软件，”Hilligoss补充道。“而是理解暴露的身份如何在系统、供应商和自动化工作流程之间相互连接。”

他继续说道：“SpyCloud在过去十年中重新捕获了近一万亿个被盗身份资产。这是我们对身份扩展演变及恶意行为者如何旨在利用数据对抗个人和企业的洞察基础。但对防御者来说，有好消息。当组织持续监控暴露并建立自动化修复工作流时——我们已经看到这可以显著缩短攻击者的机会窗口，这是一场值得奋斗的胜利。”

* 本文为泽钧编译，原文地址：https://hackread.com/spyclouds-2026-identity-exposure-report-reveals-explosion-of-non-human-identity-theft/ 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询《非人类身份盗窃爆炸式增长》