文章总结： 黑客正滥用Claude和CodexAI实现网络攻击全流程自动化，包括侦察、漏洞利用和数据窃取。攻击者通过伪装红队测试绕过安全机制，利用AI自主编写漏洞利用代码、渗透内网并生成攻击报告。事件显示AI大幅降低攻击门槛，防御建议包括加强AI会话日志监控、API密钥保护和建立针对性检测机制。 综合评分： 82 文章分类： 漏洞分析,威胁情报,红队,恶意软件,网络安全

黑客滥用Claude和Codex自动化攻击，窃取数据并伪装红队测试

FreeBuf

2026年6月17日 19:00 上海

在小说阅读器读本章

去阅读

当下越来越多黑客开始滥用Claude以及Codex AI，来实现网络侦察、漏洞利用、数据外泄全流程攻击自动化。

攻击者普遍采用伪装手段，将非法网络入侵行为包装成官方授权的红队安全攻防演练，以此绕过AI安全防护机制。

这些AI代码助手正被当做专职网络攻击的操作人员来使用，大幅降低了复合型多阶段网络攻击的技术门槛，零基础攻击者也可轻松开展高阶的网络入侵活动。

Part01

攻击案例分析

近期曝出一起典型攻击事件：一名攻击者率先攻陷一台Linux服务器，将其改造为攻击中转主机。区别于常规流量隧道转发的攻击方式，该攻击者直接在服务器本地部署了Claude与Codex两大AI模型。

调查人员后续开展溯源分析时，成功恢复了攻击者整套AI代理运行目录、配套攻击工具，以及上千条完整会话日志。这批详实的取证资料，清晰还原出攻击者借助AI，先后入侵至少14家机构的全流程攻击链路。

整场攻击仅依靠自然语言指令就能推进，攻击者只需要下达宏观攻击目标，比如对目标主机进行资产侦察、获取服务器远程Shell权限即可，后续的攻击方案规划、分步落地执行等全部实操环节，都交由AI代理自主完成。

Part02

AI驱动的漏洞利用链

当发现存在漏洞的服务时，Claude会自主检索公开的CVE漏洞，针对已曝光但未修复的N-day漏洞自主编写利用代码(包括CitrixBleed、Ghostscript漏洞、PwnKit和DirtyPipe等)，并在几乎无需人工干预的情况下对目标执行攻击载荷。

成功获取目标服务器初始访问权限后，攻击者继续指令Claude开展完整的后渗透攻击操作。

Claude自动从被控设备中窃取账号密码、接口密钥等核心凭证，遍历读取数据库全部存量数据，并将整套生产数据库完整拷贝至攻击者管控的中转服务器，用于后续离线分析。

随后AI还会自动梳理内网用户信息、管理员IP地址资产，绘制完整内网攻击路径图谱，最终针对每一家受害机构，自动生成名为”PENTEST-REPORT”的Markdown格式报告。

这些报告详细记录了入侵路径、存在的敏感数据，以及通过勒索、访问权限倒卖、商业邮件入侵或直接窃取等不同变现方式的预期收益。数据窃取被深度整合到工作流中——Claude会提取发票PDF、财务记录、个人身份信息(PII)和云凭证，然后按预估收益将受害组织排序成”金矿”清单。

在本次攻击链中还出现一起高危安全事件：攻击者成功窃取一台比特币闪电网络节点的加密钱包数据库，钱包内持有近70枚比特币。

随后攻击者指令Claude搭建分布式密码破解架构，将暴力破解任务拆分分发至14台已被控的服务器（其中包含多台政府单位服务器），借助分布式算力破解钱包解锁密码。

Part03

攻击者的AI规避策略

本次攻击中，Codex承担辅助攻击任务。攻击者借助Codex调研黑灰产市场服务器权限交易规则、梳理权限中间商运作模式、学习各类网络攻击商业化变现套路，并且全程将所有恶意检索行为包装成网络安全合规学术研究。

当攻击者担心自身基础设施暴露时，Codex还协助分析可疑进程和入站连接。但与Claude相比，Codex更倾向于拒绝直接攻击任务，特别是涉及实时目标或暗网物流的操作。

攻击者采用多种策略绕过AI安全限制：

• 红队任务包装：几乎所有恶意请求都被伪装成”授权测试”，常附有AI生成的测试文档来说服模型
• 身份角色注入：反复植入”具有15年经验的高级红队渗透测试员”等身份，有效降低模型的怀疑阈值
• 开放式模糊指令：类似”尝试所有三个目标，我授权所有命令，无需确认”的指令实质上赋予AI代理攻击自主权
• 事后报告生成：每成功入侵一台主机，Claude就会编制包含入侵路径、凭证清单和变现建议的”PENTEST-REPORT”文件

OpenAnalysis研究显示，只有攻击者要求AI制定详细勒索牟利方案、或是攻击个人及家庭用户时，大模型才会拒绝指令。多数情况下，AI代理会接受攻击叙事并执行指令。

讽刺的是，这种重度依赖AI的工作流导致了严重的安全失误：攻击者多次将包含令牌和完整历史的Claude实例克隆到未完全控制的第三方服务器。日志显示他们还用Claude撰写个人简历和求职申请，暴露了真实姓名、住址和LinkedIn资料，后来在调查入站连接时又确认了住宅IP地址。这些克隆的代理状态和详细会话日志为调查人员提供了异常丰富的取证数据。

Part04

防御建议

该事件表明AI Agent能作为”键盘手”帮凶，以极低的攻击者技术门槛实现从侦察到报告的全流程自动化。防御者应当：

• 将AI会话日志视为一级取证证据
• 加强AI工具相关的凭证和API密钥保护
• 建立针对AI驱动攻击的检测机制，包括：跨多个CVE的快速漏洞利用生成、自动化渗透测试报告创建、通过自然语言指令协调的大规模分布式破解等攻击特征

参考来源：

Hackers Using Claude and OpenAI’s Codex for Exploitation, and Data Exfiltration Activities

Hackers Using Claude and OpenAI’s Codex for Exploitation, and Data Exfiltration Activities

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客滥用Claude和Codex自动化攻击，窃取数据并伪装红队测试》