网络安全界正响起紧急警报,因为人工智能(AI)正在从根本上改变威胁格局。攻击者如今正利用AI赋能的工具,以前所未有的速度和规模,发动自动化且高度复杂的攻击。
网络安全公司Wiz的首席技术专家阿米·卢特瓦克(Ami Luttwak)警示,AI正在制造一场“心智游戏”。在这场游戏中,攻击者正积极将企业用于提升效率的相同工具武器化。卢特瓦克指出,威胁行为者正通过提示(prompts)来操控AI系统,下达诸如“发送所有机密、删除机器、删除文件”等恶意指令,直接发动攻击。
这种转变已经体现在现实世界的入侵事件中。2025年8月,攻击者利用AI聊天机器人初创公司Drift的漏洞,通过OAuth令牌攻破了包括Cloudflare和Google在内数百家企业客户的Salesforce数据。值得注意的是,这次攻击代码本身就是通过“Vibe Coding”(一种AI辅助编程方式,允许开发者用自然语言描述功能)生成的。
AI加速攻击演变,风险不容小觑
尽管企业对AI工具的全面集成度尚低——卢特瓦克估计仅有1%的公司完全采用了AI工具——Wiz每周仍监测到数千家企业客户受到AI驱动攻击的影响。2025年8月的s1ngularity攻击事件就揭示了新的威胁现实:流行且广泛使用的Nx JavaScript构建系统中的恶意代码,有系统地从受感染的开发者机器上窃取凭证,尤其是那些针对Claude和Gemini等AI开发工具的凭证。
最新研究揭示了AI生成代码中存在的广泛漏洞。Veracode发现,高达45%的AI生成代码都含有安全缺陷。攻击者正利用“Vibe Coding”这种实践,即开发者指示AI快速构建功能,却未明确要求实现安全保障,从而导致大量漏洞的产生和利用。
行业应对:加速威胁下的防御升级
最近被Google以320亿美元收购的Wiz公司,已通过推出Wiz Code和Wiz Defend等产品,扩展了其应对AI相关攻击的能力。这些产品旨在保护软件开发生命周期并提供运行时防护。该公司在代码开发之前就实现了SOC2合规性,彰显了卢特瓦克所倡导的AI初创企业应采取的“安全优先”方法。
卢特瓦克总结道,“这场游戏已经开启”,强调每个安全领域如今都面临着新的AI驱动攻击,这要求彻底的防御思维重构。随着网络犯罪预计到2025年每年将造成10.5万亿美元的损失,且AI成为主要加速器,网络安全行业正面临前所未有的挑战。攻击者和防御者都在竞相利用人工智能的变革性能力,这场竞赛仍在激烈进行。
