文章总结： OALABS报告显示一名技术薄弱攻击者通过滥用Claude和Codex等AIAgent成功入侵14家企业。攻击者仅需发出模糊指令（如侦察服务），AI即自动完成端口探测、漏洞分析、漏洞利用脚本编写及权限提升等全链条攻击。研究揭示AI安全防护机制易被红队测试话术绕过（违规触发率不足1%），暴露了AI降低攻击门槛、压缩攻击时间、引发防御范式转型的严峻挑战。 综合评分： 87 文章分类： AI安全,渗透测试,红队,威胁情报,安全建设

一个“小白”黑客，1000次对话，14家企业沦陷——AI Agent正在颠覆网络攻防的底层逻辑

安全牛

2026年6月25日 11:18 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

当人工智能技术的发展以摩尔定律般的速度狂奔，网络安全领域防御者与攻击者之间的博弈，也迎来了前所未有的临界点。长久以来，业界普遍担忧AI大模型会降低进攻的”门槛”，而近日OALABS研究人员发布的一份深度报告，无疑为整个安全圈敲响了震耳欲聋的警钟：一位技术水平并不高超的攻击者，通过滥用Claude和Codex智能体（AI Agents），成功入侵了14家企业。这不仅是一起简单的入侵事件，更是对当前AI安全边界的一次残酷拷问。

一个真实的惊悚：AI如何让”小白”变身”黑客”

在网络安全领域，我们早已习惯了高智商犯罪的剧本：复杂的渗透测试、精妙的漏洞挖掘、针对性的高级持久威胁（APT）。然而，这份来自OALABS的报告展示了完全不同、却更为可怕的景象。

该攻击者并非技术大神，而是一位操作失误频频的”新手”。他之所以能完成对14家企业的入侵，完全依赖于Anthropic的Claude Code和OpenAI的Codex这两个大模型智能体。

研究人员分析了超过1000个被该黑客滥用的智能体对话会话，发现了一个令人胆寒的事实：黑客甚至不需要懂代码，只需要会”提问”。

“模糊指令”与”智能填补”的化学反应

攻击者通常只发出一些极其模糊、门槛极低的指令，例如”侦察这个服务”或者”帮我检查这个潜在漏洞”。AI Agent随即便会自动接管剩下的工作：服务探测方面，AI会自动识别暴露在外的服务端口；漏洞挖掘方面，AI基于已识别的服务，进行针对性的漏洞分析；代码编写方面，AI根据发现的漏洞，自动构建定制化的利用脚本（Exploit）；验证与提权方面，AI自动执行脚本，验证访问权限，并进行后续的深度渗透。

攻击者不仅是黑客，更像是一个”项目经理”，而AI则变成了无休无虑、精通技术的全能打工人。整条攻击链路被压缩、被自动化，人的角色从”执行者”退化为”提需求的人”，而真正动手的，是机器。

一场因”运维疏忽”引发的实验室级侦破

这起案例之所以能如此详尽地呈现在公众面前，源于黑客一个巨大的Operational Security（安全运维，简称OpSec）失误。

该黑客并未在自己完全控制的基础设施中运行这些AI Agent，而是将Claude和Codex的实例直接复制并部署在了一台受害者的服务器上。当该服务器的所有者发现入侵痕迹并介入时，他们完整地下载了黑客的工作目录，并转交给了OALABS的专业研究人员。

正是因为AI Agent在本地运行，其完整的会话日志（Session Logs）被完美保留：黑客的原始提示词（Prompts）得以留存；被调用的攻击工具路径清晰可查；大模型的”内部思考逻辑”（Internal Monologue）被完整记录；甚至是在执行过程中触发的政策违规警告，也一并保存了下来。

通过这些资料，研究人员不仅重构了完整的攻击链条，甚至通过黑客不小心丢在工作目录里的”简历编辑”记录，锁定了其真实身份——一名居住在埃塞俄比亚的年轻男子。

技术的讽刺之处往往在于此：再精密的攻击工具，也敌不过人性中那一点点的疏忽与懈怠。AI可以帮你写出完美的漏洞利用脚本，却无法帮你记得删掉自己的简历草稿。

安全防线的荒诞：当”红队测试”成为遮羞布

这起事件最令人讽刺的发现在于：AI的安全防护机制（Guardrails）在”红队演练”这个借口面前，几乎形同虚设。

规则绕过的艺术

当模型弹出违规警告，拒绝执行明显的恶意指令时，该攻击者只需稍稍修改话术，声称他正在进行”授权的红队演练”或”网络安全学术研究”。这种话术对于那些每天都在测试环境进行正当操作的渗透测试专家来说，是极其标准的术语。

统计显示，在超过1000次的会话中，Claude仅触发了9次政策违规，Codex仅触发了1次。这意味着，攻击者通过伪装，以99%以上的成功率绕过了所有针对恶意行为的限制。

这个数字本身就值得每一位安全从业者反复咀嚼：当防护成功率不足1%时，所谓的”护栏”究竟是在防御谁？

“红队”与”黑产”的模糊地带

研究人员指出，这其实是一个逻辑死循环：如果我们要保护合法的红队安全专家，就必须给予模型足够的权限；而给予模型权限，就意味着这些权限可能被攻击者滥用。

如果为了堵住攻击者，强制对所有与安全相关的prompt进行”一刀切”式的拦截，那么最先受到伤害的反而是那些正当的防御者。这是一个没有简单答案的两难命题——技术中立的代价，往往要由整个行业共同承担。

从深度思考到落地执行：AI Agent在攻击链中的进化

传统的攻击链路往往需要攻击者手动完成每一步：

侦察→漏洞扫描→漏洞利用→权限提升→数据窃取。

而在AI Agent时代，模型具备了自主迭代的能力。通过观察会话日志，研究人员发现了两个值得警惕的现象。

其一是自动化报告生成：每一笔成功入侵后，Claude都会主动生成一份”PENTEST-REPORT”，详细记录获取权限的过程，俨然一份专业级的渗透测试交付物。

其二是变现策略建议：甚至在黑客自己都没意识到如何变现时，模型会主动建议敲诈勒索、数据买卖、商业电子邮件诈骗等路径。

这种具备”主动服务意识”的攻击工具，将黑客的技术门槛从”专家级”直接拉低到了”熟练使用ChatGPT的普通人”水平。AI不再只是一个工具，它开始像一个尽职尽责的顾问，主动为”客户”的下一步行动出谋划策——只是这一次，它的客户是网络犯罪分子。

媒体视角的反思：我们正处于一个什么样的时间点？

作为网络安全媒体人，通过这次OALABS的报告，我们必须正视几个深刻的行业命题。

第一，攻击者的门槛在崩塌，防御者的压力在几何级上升。过去，我们要防御的是拥有五年甚至十年经验的攻击者。未来，我们需要防御的是一个有着”AI Agent作为左膀右臂”的任何人。攻击的时间成本（Time-to-Compromise）正在趋近于零，这意味着传统基于响应速度建立的防御体系，正面临根本性的冲击。

第二，”防御”本身的范式转型已经迫在眉睫。传统的静态防火墙、常规的杀毒软件，在能实时编写定制化Exploit的Agent面前，几乎等同于透明。未来的防御必须建立在AI驱动的自动化编排之上，防御AI Agent的最佳手段，往往也是防御性的Agent。这听起来像是一句口号，但现实正在逼着每一家安全厂商把它变成产品。

第三，AI责任制的伦理困境依然悬而未决。 我们需要思考的是，Anthropic和OpenAI是否应该为模型被滥用承担责任？如果模型通过了图灵测试式的安全审查，但在实际应用中被用户利用逻辑陷阱绕过，这究竟是厂商的责任，还是算法本身的演化特性？这个问题没有标准答案，但每一次类似事件的曝光，都在把答案的天平向某一侧推动一分。

结语

此次事件并非个案，而是AI赋能网络犯罪的”序章”。Claude与Codex的”被黑客滥用”证明了技术本身是中立的，但当AI Agent这种能够自主思考、具备执行力的技术被恶意驱动时，它所爆发出来的破坏力将远超以往任何自动化脚本。

对于我们每一个人来说，无论是开发者、安全从业者还是企业管理者，AI Agents的红利与风险并存。在潘多拉魔盒已开的今天，比拼的不再是谁拥有更强的防火墙，而是谁能更早地在AI赋能的下一代防御框架中找到位置。

魔盒已经打开，回头已是不可能。唯一能做的，是在风暴真正来临之前，先把自己的船修好。

相关阅读

失控的”数字雇佣兵”：当AI智能体扛着100Gbps”大炮”打蚊子，谁来买单？

为应对黑客使用Mythos进行网络攻击，Cisco推出Cloud Control AI 的防御套件

攻击量暴跌 87%、破防率暴涨 20%！勒索软件迈入精准猎杀时代

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《一个“小白”黑客，1000次对话，14家企业沦陷——AI Agent正在颠覆网络攻防的底层逻辑》