攻击者利用AI实施网络攻击的行为分析

admin 2026-07-06 04:55:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Anthropic分析了832个因滥用Claude被封禁的恶意账号,共13873条攻击记录。研究发现攻击者主要利用AI进行恶意软件开发、混淆文件和削弱防御,其中恶意软件能力开发是最常见的技术。高风险攻击者不仅在攻击准备阶段使用AI,还在入侵后阶段用于横向移动等操作,其风险评分显著更高。报告还描述了一个AI赋能网络间谍活动案例,展示了分阶段自主执行和实时利用的能力。 综合评分: 86 文章分类: 威胁情报,恶意软件,红队,AI安全


cover_image

攻击者利用AI实施网络攻击的行为分析

原创

刘顺 刘顺

安全有术

2026年6月6日 19:49 广东

在小说阅读器读本章

去阅读

AI人工智能将改变网络攻击的方式,攻击者都是如何利用AI人工智能实施网络攻击的呢?

Anthropic最新发布了一份研究报告(原文链接详见文章最底部),选取了 2025 年 3 月至 2026 年 3 月之间,因违规滥用 Claude 被封禁的 832 个恶意账号作为研究样本,汇总 13873 条恶意行为记录,通过这些样本分析了攻击者在网络攻击生命周期中是如何AI的。

01、将AI攻击行为映射到ATT&CK

针对832个账号,Anthropic分别对每个账号的行为进行了观察总结,提取了这些账号的策略、技术和流程(即 TTPs),并将其映射到 MITRE ATT&CK 框架版本(V18)。并在 14 个 ATT&CK 战术维度中观察到了 13873 利用AI执行的攻击操作行为。 LLM ATT&CK Navigator在线访问链接: https://red.anthropic.com/2026/attack-navigator/navigator

此外,Anthropic还研发的一种名为AI风险赋能评分(ARiES)的新方法,为每个攻击者赋予了0到100的风险评分(0分代表最低风险,100分代表最高风险),ARiES是一项综合评分,由三个维度构成:行为主体的威胁特征、模型对所请求危害的促成作用,以及已观察到或潜在的影响。

02、AI攻击行为分析

#

本次统计共有832 个恶意账户,总计 13873 次攻击记录,下图筛选出发生频次最高的 25 项攻击技术,其中,恶意软件能力开发登顶(577 次、4.16%),全榜单频次第一,高于其余手段,说明攻击者自主定制恶意程序是当前主流起点,定制化木马 / 病毒成为入侵核心载体。

上图是从攻击行为的角度进行统计分析,Anthropic还从恶意账户(攻击者)的维度做了一些分析总结,结果更具参考价值:

  • 在本次分析的832个恶意账户中,有574个将AI应用于T1587.001 恶意软件开发,占比69%。攻击者会滥用模型来构建和优化可运行的自定义脚本,编写包含详细实现指导的动态链接库注入代码。
  • 64.7%的恶意账户将AI应用于T1027(混淆的文件或信息);55.9%的恶意账户将AI应用于T1005(来自本地系统的数据);54.9% 的恶意账户将AI应用T1562(削弱防御)。这些统计数据表明,网络攻击者最常借助大语言模型(LLM)来构建攻击前的进攻工具、提高这些工具的隐蔽性,并从被入侵的系统中窃取数据。
  • 从另一方面来看,一旦进入目标网络,攻击者使用大模型进行实时自适应决策的可能性要小得多。例如,832名恶意账户中仅有54个(6.5%)使用模型进行横向移动,使用模型访问RDP、SSH和SMB等远程服务的攻击者不足12人。仅有22.5%的攻击者会在权限提升和影响阶段使用大模型。
  • 高风险威胁攻击者从研究前六个月的约33.5%,升至第二个六个月的约56.1%,在不到一年的时间里高风险攻击者增长了1.7倍。这表明利用人工智能开展网络行动的行为主体数量不断增加,其行为带来的风险也更高。
  • 虽然横向移动等战术在数据集中出现频率低得多,但它们与最高的ARiES风险评分高度相关——这意味着风险最高的攻击者也是最有可能在网络攻击后期使用模型的主体。风险评分最高的攻击者在入侵后阶段最频繁地使用AI来执行手动键盘操作技术,例如远程服务、凭证转储、Webshell部署以及内部网络和账户探测。横向移动是判定高风险攻击者的最强特征:数据集中54名使用横向移动的攻击者平均风险评分为56.4,比46.8的平均值高出近10分。没有其他任何技术能接近具备如此强的预测能力。
  • 综合来看,大多数攻击者在攻击的准备阶段利用人工智能生成恶意代码等工具,而高风险攻击者不仅在攻击准备阶段使用人工智能模型,还在受感染网络内的实操环节中使用该模型。

03、AI时代网络攻击的复杂性

#

仅基于攻击技术的数量、类型或广度来判断人工智能赋能网络攻击的风险程度是不够的。还需要一种方法,就是评估攻击者是否能够搭建的链式工具基座(脚手框架),以将这些技术串联起来用于实际网络攻击行动。这一框架能让攻击者借助人工智能模型,在无需人工干预的情况下自主执行大规模网络攻击。Anthropic 2025年11月报道过的一项人工智能赋能网络间谍活动,该行为获得了100分的最高风险评分,成功入侵了多个国家的政府和关键基础设施目标,并开发出了一套框架,关于这篇攻击报道的链接:

https://www.anthropic.com/news/disrupting-AI-espionage

该攻击主要特点如下:

  • 分阶段自主执行: 部署在 Kali 机器上运行的 Claude Code,以自主编排数十个 MCP 工具操作——在侦察阶段扫描并绘制数十个面向互联网的服务,进入网络后又发现内部管理门户、数据库、日志服务器和临时工作流系统。该人工智能不仅会建议命令,还会执行命令,并在无需等待操作员输入的情况下,对下一步要探查的内容做出战术决策。
  • 实时利用与横向移动:在攻击框架内运行时,该人工智能利用面向公众的网络服务器中的服务器端请求伪造漏洞,将命令代理到内部云环境中,从内部基础设施中获取SSH私钥,并从云元数据服务以及AWS Secrets Manager中获取服务账户令牌,随后利用这些获取的凭证在受害者的云环境中实现横向移动。这些是在我们的数据集中较为罕见的操作阶段(发现→凭证获取→横向移动)。
  • 人类提供意图,AI 执行:人类提供战略方向,而 AI 负责战术落地。AI 在侦察和内部排查过程中自主运行,在遇到容器镜像签名工作流、服务账户身份等意外基础设施时调整了策略,并对数万条专有工作流记录和内部架构文档进行了暂存与压缩,以便数据窃取。最终的数据提取——通过 curl MCP 工具调用下载至攻击者设备——由人类主导,这表明操作员在将具体操作工作交由 AI 处理的同时,仍掌控着关键决策。

研究原文访问地址: https://red.anthropic.com/2026/attack-navigator/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全有术 刘顺 刘顺《攻击者利用AI实施网络攻击的行为分析》

评论:0   参与:  0