网络安全研究人员本周发出严厉警告,预计到2026年,经过破解的AI驱动渗透测试工具将在网络犯罪论坛大规模扩散,使攻击者能够以空前速度发现并利用系统漏洞。周四发布的警报指出,合法安全工具可能像Cobalt Strike一样被武器化,威胁行为者可能将攻击时间线从数天压缩至数分钟。
AI驱动的渗透测试平台已在漏洞发现方面展现出超越人类安全专家的能力。在主流漏洞赏金平台位居榜首的Xbow工具,在多个重要系统中发现了远程代码执行和SQL注入等大量安全漏洞。根据ReliaQuest威胁研究人员的报告,网络论坛证据显示网络犯罪分子已在招募开发者构建非法AI工具。
Cobalt Strike作为合法红队工具,在其破解版本流传网络后被广泛滥用,这预示着新兴AI产品可能面临相似命运。研究人员警告,一旦高级AI工具通过盗版副本广泛传播,攻击事件可能急速爆发。最新数据显示,随着勒索软件即服务组织整合AI功能,攻击者“突破时间”已从2024年的48分钟骤降至2025年中的18分钟。
更令人担忧的是,研究表明高达45%的AI生成代码存在安全漏洞。Veracode针对80项编码任务中100多个大语言模型的分析发现,当面临安全与不安全方法选择时,AI模型有45%的概率选择不安全方案。其中Java风险最高,安全失败率达72%,Python、C#和JavaScript的失败率则在38%-45%之间。
安全专家同时警告开源软件风险正在升级。近1200万个项目中超过半数由个人志愿者维护。2025年发生的多起知名事件中,项目维护者遭受网络钓鱼攻击,导致恶意代码被发布至广泛使用的代码库,可能影响数百个应用和数百万用户。
这些警告发布之际,包括Qilin、Akira和DragonForce在内的勒索软件组织正加紧活动,部分组织采用高调激进策略,另一些则保持隐蔽手段以规避执法干预。
