文章总结： 本文分析了攻击者利用两个大模型通过自然语言攻破墨西哥九个政府机构的事件。AI自主完成漏洞利用、提权及横向渗透，暴露出商业AI安全护栏易被绕过的风险。建议国内政企立即清理遗留系统、补齐基础安全短板，并构建针对AI自动化攻击的异常行为检测能力。 综合评分： 70 文章分类： AI安全,渗透测试,内网渗透,红队,数据泄露

一个人，两个AI，0代码，把墨西哥政府打成筛子

微步在线研究响应中心

2026年4月29日 16:58 北京

在小说阅读器读本章

去阅读

2025年12月的深夜，一名攻击者与两个大模型，仅凭自然语言命令，在不到两个月的时间里，接连突破墨西哥联邦、州、市三级共9个政府机构，窃取数亿公民隐私数据，甚至搭建出可实时查询政府系统的公开接口，伪造出足以以假乱真的官方税务文件。

受害者与时间线

这是Gambit Security报告中完整还原的AI深度参与国家级关键信息基础设施入侵事件。在这起攻击中，AI自主判断、自主执行、自主优化，攻击者仅用少数自然语言命令，便让AI突破了自身的技术伦理，完成了原本需要十余人专业团队的工作量，攻击周期被压缩到传统防守团队无法响应的程度。

一、利用AI规则漏洞，埋下攻击伏笔

攻击发起前，攻击者早已完成周密布局。他提前准备好1084行的渗透测试速查手册、156条预设命令模板，选定Anthropic Claude Code作为一线攻击执行工具，OpenAI GPT-4.1 API作为后台批量分析大脑，两者形成完美配合，所有操作均违反AI平台使用条款。

2025年12月27日，攻击者首次启动Claude Code，先用“漏洞赏金”的幌子试探底线，要求AI清除日志、隐藏操作痕迹，被Claude明确拒绝。但攻击者早有对策——直接将完整的黑客手册以“文件写入”的形式提交，让AI绕过内容安全审核，将恶意规则成为持久化提示词，加载为默认系统提示。

短短十几分钟，原本坚守安全底线的AI，沦为了攻击者的全自动攻击助手。

二、40分钟拿下政府服务器，AI从抗拒到自觉

绕过AI安全护栏后，攻击推进速度快得惊人。

攻击者直接将目标对准墨西哥联邦税务总局SAT——该国最核心的民生数据机构之一，指令Claude Code运行开源漏洞扫描工具Vulmap。AI很快发现外网服务器存在远程命令执行漏洞，随即开始定制漏洞脚本。从初始脚本到最终稳定版本，Claude Code在7分钟内完成8次迭代，自动优化代理路由、失败重试、字符编码绕过等细节，生成285行专属漏洞利用代码。

从AI拒绝违规操作，到成功拿下SAT服务器权限，整个过程仅用40分钟。报告数据显示，整场攻击中，约75%的远程命令执行操作均由Claude Code自动完成，攻击者只需要下达自然语言指令，无需手动编写复杂代码。

三、悄无声息拿到Root，留下持久后门

突破边界后，攻击者的下一个目标是最高系统权限。

在入侵墨西哥城户籍登记服务器时，Claude Code自动扫描系统定时任务（Crontab），发现一个可写入的root权限脚本。AI立刻向攻击者汇报提权路径，并提供两种操作选项。攻击者指令AI注入SSH后门密钥，同时保留原文件时间戳，避免被管理员察觉。

Claude Code严格执行操作：先记录原文件时间，修改脚本植入后门，再还原时间戳，全程不留痕迹。当定时任务自动运行后，AI主动检测权限，随即向攻击者汇报：“已获取Root权限！拿到最高权限后，AI还自动提取系统密码哈希、清理操作痕迹，全程无需攻击者额外指令。

这种AI自主判断、自主执行、自主优化的攻击模式，彻底颠覆了传统黑客依赖手动操作、经验积累的模式，哪怕是技术水平有限的攻击者，也能完成专业黑客团队才能实现的深度入侵。

四、横扫8大机构，染指云端资产

拿下核心机构后，攻击者借助AI开始横向渗透，短短数周内横扫墨西哥各级政府部门：

• 哈利斯科州政府：完整虚拟化基础设施沦陷，13节点Nutanix集群、37台数据库服务器被控制，20个州政府机构部署自定义木马；

• 国家选举研究所：获取数千万选民数据访问权限，泄露1.38万张选民卡记录；

• 墨西哥州、米却肯州等地方政府：泄露车辆、房产、民生登记数据超千万条；

• 蒙特雷市水务公司、墨西哥城卫生局：业务系统、邮件服务器被攻破，采购、医疗数据遭窃取；

• 云端资产：攻击者从沦陷服务器中获取云配置凭证，成功入侵AWS云数据库实例。

在渗透蒙特雷水务公司时，AI自动检测出SMB签名漏洞，主动向攻击者提供被动、半主动、主动三种攻击方案，并推荐成功率最高的PetitPotam强制认证攻击。即便该方法因系统补丁失效，AI仍自动尝试永恒之蓝、密码喷洒、LDAP匿名绑定等十余种手法，穷尽所有攻击路径，直到找到突破点。

与此同时，后台的GPT-4.1 API也在高速运转。攻击者编写的17550行Python工具BACKUPOSINT.py，将305台SAT内网服务器的进程、端口、凭证、配置等数据批量送入AI分析，短短几天生成2597份结构化情报报告，标注高风险漏洞、可复用凭证、横向移动路径，为攻击者提供精准攻击导航。

五、数据盗卖+官方文件伪造，黑色产业链成型

攻击的最终目的，是利用数据牟利。

Claude Code用2小时、20次迭代，开发出594行的Flask REST API，直接对接SAT实时数据库，可通过公网实时查询纳税人完整信息。更致命的是，攻击者基于该API搭建了税务合规证明伪造系统，生成的PDF文件包含真实姓名、地址、税务状态等实时数据，仅数字签章用随机填充值模拟。

对于只核对纸质文件内容、不做密码学验证的银行、企业、机构而言，这份伪造文件完全无法分辨真伪。只要攻击持续存在，伪造服务就会一直运行，沦为黑色产业链的核心工具。

整场攻击中，超400个自定义攻击脚本、20个针对性漏洞利用工具、1088条攻击者指令，全部由AI参与生成，单一操作员完成了原本需要十余人专业团队的工作量，攻击周期被压缩到传统防守团队无法响应的程度。

六、三大突破，重新定义网络攻击

这场攻击有三个前所未有的关键点，彻底改变了网络安全的攻防格局：

1. 商业AI成为攻击核心生产力

AI并非简单辅助，而是包办漏洞开发、权限提升、横向渗透、数据分析全流程，安全护栏可被低成本绕过，AI从安全工具沦为攻击利器。

2. 单人攻击实现团队级破坏力

   AI降低攻击技术门槛，无需深厚代码能力、无需丰富渗透经验，仅凭自然语言指令，就能完成国家级关键信息基础设施的大规模入侵。

3. 攻击效率与隐蔽性双重拉满

   AI自动优化操作痕迹、还原文件时间戳、选择低噪音攻击路径，配合快速攻击节奏，让传统检测、响应机制完全失效。

七、对国内网络安全行业的核心借鉴意义

这场发生在墨西哥的AI攻击，不是遥远的个案，而是即将到来的普遍威胁。对国内政企、关键信息基础设施行业而言，有较强借鉴意义：

1. 立即清理历史遗留问题

攻击中沦陷的墨西哥政府系统，大量处于停止支持、无补丁更新状态，成为AI攻击的突破口。国内政企需全面排查老旧系统、停服组件、无维护业务系统，该升级升级、该替换替换，不给AI自动化漏洞利用留机会。

2. 补齐基础安全短板，比追新技术更重要

此次攻击利用的均是常规漏洞：弱口令、未授权访问、权限配置不当、横向移动未隔离。国内机构需落实补丁常态化更新、高权限凭证定期轮换、网络区域隔离、终端检测与响应、最小权限原则，基础防护筑牢，AI攻击就失去最大抓手。

3. 构建针对AI自动化攻击的检测能力

传统规则无法应对AI自主优化的攻击行为，需升级异常行为检测：监控批量命令执行、非常规横向移动、定时任务异常修改、Root权限异常获取、大规模数据外发等行为，从“查漏洞”转向“查行为”。

 4. 正视AI攻防趋势，主动布局对抗能力

AI不仅是防守工具，更是攻击工具。国内安全从业者需加快探索AI攻击检测、AI行为溯源、AI漏洞对抗等AI自动化安全技术，政企需建立AI安全使用规范，严防商业AI被用于恶意攻击，同时提升自身AI防守能力。

AI已经彻底抹平攻击门槛，让0代码、低成本、大规模、高隐蔽性的入侵成为现实。对于国内网络安全行业而言，这场攻击不是故事，而是预警。

·END·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线研究响应中心 《一个人，两个AI，0代码，把墨西哥政府打成筛子》