AI双刃剑：智能攻击与网络安全防御新策略

网络安全界正响起紧急警报，因为人工智能（AI）正在从根本上改变威胁格局。攻击者如今正利用AI赋能的工具，以前所未有的速度和规模，发动自动化且高度复杂的攻击。

网络安全公司Wiz的首席技术专家阿米·卢特瓦克（Ami Luttwak）警示，AI正在制造一场“心智游戏”。在这场游戏中，攻击者正积极将企业用于提升效率的相同工具武器化。卢特瓦克指出，威胁行为者正通过提示（prompts）来操控AI系统，下达诸如“发送所有机密、删除机器、删除文件”等恶意指令，直接发动攻击。

这种转变已经体现在现实世界的入侵事件中。2025年8月，攻击者利用AI聊天机器人初创公司Drift的漏洞，通过OAuth令牌攻破了包括Cloudflare和Google在内数百家企业客户的Salesforce数据。值得注意的是，这次攻击代码本身就是通过“Vibe Coding”（一种AI辅助编程方式，允许开发者用自然语言描述功能）生成的。

AI加速攻击演变，风险不容小觑

尽管企业对AI工具的全面集成度尚低——卢特瓦克估计仅有1%的公司完全采用了AI工具——Wiz每周仍监测到数千家企业客户受到AI驱动攻击的影响。2025年8月的s1ngularity攻击事件就揭示了新的威胁现实：流行且广泛使用的Nx JavaScript构建系统中的恶意代码，有系统地从受感染的开发者机器上窃取凭证，尤其是那些针对Claude和Gemini等AI开发工具的凭证。

最新研究揭示了AI生成代码中存在的广泛漏洞。Veracode发现，高达45%的AI生成代码都含有安全缺陷。攻击者正利用“Vibe Coding”这种实践，即开发者指示AI快速构建功能，却未明确要求实现安全保障，从而导致大量漏洞的产生和利用。

行业应对：加速威胁下的防御升级

最近被Google以320亿美元收购的Wiz公司，已通过推出Wiz Code和Wiz Defend等产品，扩展了其应对AI相关攻击的能力。这些产品旨在保护软件开发生命周期并提供运行时防护。该公司在代码开发之前就实现了SOC2合规性，彰显了卢特瓦克所倡导的AI初创企业应采取的“安全优先”方法。

卢特瓦克总结道，“这场游戏已经开启”，强调每个安全领域如今都面临着新的AI驱动攻击，这要求彻底的防御思维重构。随着网络犯罪预计到2025年每年将造成10.5万亿美元的损失，且AI成为主要加速器，网络安全行业正面临前所未有的挑战。攻击者和防御者都在竞相利用人工智能的变革性能力，这场竞赛仍在激烈进行。