Anthropic年度报告：AI如何改变网络攻击？安全防御该如何改进？

前情回顾·AI网络攻击能力动态

• AI重塑网络攻击：漏洞利用成最流行手段，利用门槛被大幅拉低

• 首次发现！AI生成零日漏洞利用工具并实施网络攻击

• Anthropic新模型让传统网络防御失效，AI主导网络安全的时代正在降临！

• AI失控时刻：智能体协同入侵公司内部系统，窃取机密数据

安全内参6月5日消息，AI正在改变网络攻击的性质及其实施方式，网络安全社区现有的技术和框架还能在多大程度上保持有效？知名AI公司Anthropic日前发布报告进行分析。

Anthropic研究了2025年3月至2026年3月期间，因恶意网络活动而被封禁的832个账号，并将其映射到MITRE ATT&CK框架。该框架是一个长期使用的数据库，用于记录网络攻击者采用的战术与技术。

这832个案例只是同期被封禁账号总数中的一部分，但它们代表了Anthropic掌握了足够细节、能够全面评估攻击者技术手段的案例。

通过分析，该公司得出了3项主要结论：

1. 恶意行为者正在以更具危险性的方式使用AI。更具体地说，威胁行为者正在网络行动后期、更加复杂的阶段使用AI。

2. 网络攻击正在变得更加自主化。AI能够将攻击中的多个环节串联起来，这意味着过去区分高风险与低风险行为者的方法，已不再像以往那样有效。

3. MITRE ATT&CK框架尚未完整覆盖AI赋能攻击者所使用的关键工具和活动。

AI如何让攻击者变得更加危险

在Anthropic的数据库中，最常见的AI赋能活动与网络攻击准备工作有关，例如编写恶意软件。在他们研究的832个账号中，有560个账号，即67.3%，将AI用于这一目的。与此同时，也有少量行为者使用AI执行更加复杂的活动。例如，在832个行为者中，有54个，即6.5%，使用AI协助“横向移动”，也就是在被攻陷网络内部进行更深层次的渗透与移动。

Anthropic发现了多项证据，表明AI正在提升攻击者的威胁等级。在分析的前6个月中，33%的行为者被他们的风险评分系统归类为中等风险或更高风险。而在后6个月中，这一比例跃升至56%，约增长了1.7倍。

在整个研究期间，攻击者对AI的使用重点，逐渐从获取系统初始访问权限的技术，转向入侵系统后的后续活动。例如，用于账号发现的AI使用量上升了8.9%。账号发现是指识别被攻陷环境中的有效账号。与此同时，AI辅助网络钓鱼的使用量下降了8.6%。网络钓鱼是一种常见的获取系统访问权限的手段。这些变化表明，攻击者正在越来越多地将AI应用于攻击生命周期更深层的阶段。

过去，这类“攻陷后”技术通常只掌握在具备较高技术能力的行为者手中。而Anthropic的调查显示，如今AI已经能够代替技术水平较低的行为者完成这些操作。

为什么越来越难评估行为者的威胁等级

安全团队如何评估网络攻击者的风险等级？传统上，他们通常会参考一些指标，例如攻击者采用了多少种不同技术，以及他们使用了哪些工具或接口。但Anthropic的分析表明，这些信号已经无法准确反映特定威胁行为者的真实风险水平。

如今，AI能够代替行为者执行高度技术化的任务。因此，威胁行为者的技能水平与其使用技术数量之间，几乎已经不存在明显相关性。在Anthropic的数据集中，技能水平最低的行为者平均使用约16种不同技术，而技能水平最高的行为者平均使用约20种技术。与此同时，行为者所使用的平台类型，无论是Claude Code、API还是聊天界面，也与其风险等级不存在明显相关性。

真正能够帮助区分高风险行为者的，往往是他们在攻击生命周期中的哪个阶段使用AI。例如，高风险行为者通常会将AI集中用于操作要求更高的技术。这类技术通常需要大量时间、监督或实时决策才能执行，例如账号发现、横向移动以及权限提升，而不仅仅是用于获取系统初始访问权限的任务。

但即便是这一信号，如今也正在逐渐减弱。正如前文所述，随着越来越多行为者被归类为高风险，整个群体正在逐步转向这些操作型技术。更持久的区分因素在于攻击者围绕模型构建的支撑结构。高风险行为者会设计一种架构，使模型能够将网络攻击中的不同阶段串联起来，并在极少人工输入的情况下执行这些阶段。

为什么安全框架需要改变

目前，许多能够区分最高风险行为者的行为，尚未被纳入MITRE ATT&CK框架。例如，使用AI按顺序编排攻击链步骤、实时决定下一步行动，以及在无人干预的情况下执行攻击等行为，都缺乏对应的攻击者技术分类。

以Anthropic在2025年11月挫败的一起国家支持的网络间谍行动为例。在该案例中，一名恶意行为者操控Claude Code，试图在几乎无需人工干预的情况下，对全球目标实施渗透。在映射到MITRE ATT&CK框架后，该行为者涉及13个战术类别和30种技术。

这一规模，与Anthropic数据集中许多中等风险行为者相当。显然，如果仅根据该行为者使用了多少种技术进行判断，就会低估其真实危险程度。相比之下，若采用Anthropic的风险评分方法评估，该攻击的风险得分将达到满分100分。

在这次攻击中，模型以自主智能体的形式运行。它能够执行命令、利用漏洞、窃取凭证，并自主作出战术决策，仅在少数关键时刻需要人工输入。然而，ATT&CK框架目前尚不存在用于描述这种智能体编排能力的ATT&CK ID。

随着AI智能体能力持续增强，预计这类行为将会越来越普遍。前沿模型正在迅速改变攻击者和防御者可使用的工具。

参考资料：bleepingcomputer.com

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。