AI驱动网络攻击年度分析：三大发现揭示安全框架滞后

随着人工智能改变网络攻击的本质和手段，安全社区长期使用的技术和框架是否仍然有效？

在一份新报告中，Anthropic 试图回答这个问题。团队分析了 2025 年 3 月至 2026 年 3 月期间因恶意网络活动被封禁的 832 个账户，并将它们映射到网络安全攻击者策略与技术的长期数据库 MITRE ATT&CK 框架。部分研究结果已发表在威瑞森的 2026 年数据泄露调查报告 中，本文在此呈现更详细的分析。这 832 个案例只是该期间封禁账户总数的一小部分，但它们是团队掌握足够细节以便对攻击者技术进行全面评估的案例。

分析得出三个主要结论：

1. 恶意行为者正在利用 AI 让自己变得更具威胁性。更具体地说，威胁行为者正将 AI 用于网络行动中更靠后、更复杂的阶段。
2. 网络攻击正变得越来越自主化，AI 能串联攻击的多个环节，这意味着过去区分高、低风险行为者的方法已不再有效。
3. MITRE ATT&CK 框架未能完整覆盖那些让 AI 驱动的攻击者如此危险的工具和活动。

以下是每个结论的摘要。详细的深度分析可阅读 Anthropic 的 Frontier Red Team 博客。

AI 如何让攻击者更危险

数据库中与 AI 相关的最常见活动是准备网络攻击，例如编写恶意软件（832 个账户中有 560 个，占 67.3% 使用了 AI 完成该任务）。较少一部分行为者将 AI 用于更复杂的活动——例如，54 个行为者（6.5%）利用 AI 辅助“横向移动”，即在已被攻破的网络中深入穿行。

研究发现了与 AI 提升攻击者威胁级别相一致的证据。在分析的前六个月，33% 的行为者被风险评分系统评为中等风险或更高；但到了后六个月，这一比例跃升至 56%，增加了约 1.7 倍。

在整个研究期间，攻击者对 AI 的应用从获取系统初始访问的技术转向了进入系统后的活动。例如，利用 AI 进行账户发现（在已被攻破的环境中识别有效账户）的比例上升了 8.9%，而 AI 辅助的网络钓鱼（一种常用的获取系统访问权限的技术）则下降了 8.6%。这表明攻击者越来越多地将 AI 应用于攻击生命周期的更深阶段。

过去，这种“后渗透阶段”技术通常仅限于具备相应技术知识的行为者。但调查显示，AI 现在可以代表技术不熟练的行为者执行这些活动。

为何评估行为者威胁级别变得更难

安全团队如何评估网络攻击者的风险等级？传统上，他们依赖攻击者使用了多少种技术、使用了什么工具或接口等信息。但分析表明，这些信号已无法准确反映特定威胁行为者的风险等级。

由于 AI 能够替行为者执行高度技术性的任务，行为者的技能水平与其使用的技术数量之间几乎没有关联：数据集中技能最低的行为者平均使用约 16 种独特技术，而技能最高的行为者平均使用约 20 种。同样，具体使用的平台——Claude Code、API 或聊天界面——也与行为者的风险等级无关。

区分高风险行为者的常见信号在于他们在攻击生命周期的何处应用 AI。例如，他们更倾向于将 AI 集中在操作要求更高的技术上——这些技术需要大量时间、监督或实时决策才能完成，如账户发现、横向移动和权限提升，而非仅仅用于获取系统初始访问的任务。

但即便是这一信号也在不断弱化：正如上一节所述，随着越来越多行为者被归类为高风险，这些操作技术正成为更广泛人群的共同趋势。更持久的区分因素在于行为者为模型搭建的“脚手架”类型：高风险行为者设计的架构允许模型串联起网络攻击的各个离散阶段，并在最少人为输入的情况下执行攻击。

为什么安全框架需要变革

许多区分最高风险行为者的行为——例如利用 AI 顺序编排攻击链中的步骤、实时决策下一步行动以及无需人类干预地自主执行——尚未被纳入 MITRE ATT&CK 框架作为攻击者技术。

以 Anthropic 2025 年 11 月阻断的国家支持的网络间谍活动为例。在该案例中，恶意行为者操控 Claude Code 尝试渗透全球目标，几乎无需人类干预。将其映射到 MITRE ATT&CK 框架后显示，该行为者使用了 13 种战术下的 30 种技术，与数据集中许多中等风险行为者相当。显然，仅关注该行为者使用的技术数量会低估其真实危险性（相比之下，用 Anthropic 的风险评分方法评估该攻击，其风险评分高达 100 分）。

在那次攻击中，模型充当了自主 AI 智能体：它执行命令、利用漏洞、窃取凭证并做出战术决策，仅在少数关键时刻需要人类输入。目前没有对应的 ATT&CK ID 来记录这种自主编排行为——但随着 AI 智能体能力增强，这恰恰是团队预计会看到越来越多的行为。

展望未来

分析结果帮助 Anthropic 优化了模型中的安全防护措施。例如，团队在最强大的模型上开发并部署了网络安全防护机制，用于检测和阻止研究中发现的一些活动，如开发恶意软件或大规模数据窃取。继与威瑞森的合作之后，Anthropic 正与 MITRE 讨论如何更新 ATT&CK 框架以纳入观察到的 AI 驱动行为。

前沿模型正在迅速改变攻击者和防御者可用的工具。Anthropic 致力于帮助防御者领先于这些不断演变的战术，并首先将最强大的工具交到防御者手中。团队将继续分享从 Project Glasswing、本文收集的数据集以及其他网络安全活动中获得的经验。

在 Red 团队博客 中，Anthropic 分享了一个攻击者技术的交互式可视化工具，帮助防御者提前应对 AI 驱动的威胁。