我们最近认为,拐点网络安全已经达到了这样一个阶段:人工智能模型已经真正对网络安全操作有用,无论是好是坏。这是基于系统评估显示网络能力在六个月内翻倍;我们还一直在跟踪现实世界的网络攻击,观察恶意行为者如何使用人工智能功能。虽然我们预测这些功能将继续发展,但令我们印象深刻的是它们大规模发展的速度有多快。
2025 年 9 月中旬,我们检测到可疑活动,后来的调查确定这是一场高度复杂的间谍活动。攻击者将人工智能的“代理”能力发挥到了前所未有的程度——不仅将人工智能用作顾问,还自行执行网络攻击。
我们充满信心地评估威胁行为者是一个中国国家支持的组织,操纵了我们的克劳德·科德工具试图渗透到大约 30 个全球目标,并在少数情况下取得了成功。该行动针对大型科技公司、金融机构、化学品制造公司和政府机构。我们相信,这是第一个有记录的、在没有大量人为干预的情况下实施的大规模网络攻击的案例。
发现这一活动后,我们立即展开调查,以了解其范围和性质。在接下来的十天里,当我们绘制了此次行动的严重性和全面范围时,我们在发现账户后对其进行了禁止,酌情通知受影响的实体,并在收集可采取行动的情报时与当局进行协调。
这项活动对人工智能“代理”系统时代的网络安全具有重大影响,这些系统可以长时间自主运行,并且在很大程度上独立于人类干预来完成复杂的任务。代理对于日常工作和生产力非常有价值,但如果落入坏人之手,它们可能会大大增加大规模网络攻击的可行性。
这些攻击的有效性可能只会增强。为了跟上这种快速发展的威胁,我们扩展了检测能力并开发了更好的分类器来标记恶意活动。我们不断致力于研究新方法来调查和检测此类大规模分布式攻击。
与此同时,我们公开分享此案例,以帮助行业、政府和更广泛的研究界加强自己的网络防御。我们将继续定期发布此类报告,并对我们发现的威胁保持透明。
网络攻击是如何进行的
这次攻击依赖于人工智能模型的几个特征,这些特征在一年前还不存在,或者还处于初级阶段:
- 情报。模型的总体能力水平已经提高到可以遵循复杂的指令并理解上下文,从而使非常复杂的任务成为可能。不仅如此,他们的一些成熟的特定技能(特别是软件编码)也适合用于网络攻击。
- 机构 。模型可以充当代理,也就是说,它们可以循环运行,采取自主行动,将任务链接在一起,并仅通过最少的、偶尔的人工输入做出决策。
- 工具 。模型可以访问各种软件工具(通常通过开放标准模型上下文协议)。他们现在可以搜索网络、检索数据并执行许多其他以前只有人类操作员才能完成的操作。在网络攻击的情况下,这些工具可能包括密码破解程序、网络扫描仪和其他与安全相关的软件。
下图显示了攻击的不同阶段,每个阶段都需要上述所有三个开发:
在第一阶段,操作人员选择相关目标(例如要渗透的公司或政府机构)。然后,他们开发了一个攻击框架,该系统旨在自动破坏选定的目标,而无需人工参与。该框架使用克劳德代码作为执行网络操作的自动化工具。
此时,他们必须说服克劳德(Claude)参与攻击,克劳德接受过广泛的培训,可以避免有害行为。他们通过越狱来做到这一点,有效地诱骗它绕过护栏。他们将攻击分解为看似无害的小任务,克劳德将执行这些任务,而无需提供其恶意目的的完整背景。他们还告诉克劳德,这是一家合法网络安全公司的员工,正在用于防御测试。
随后,攻击者发起了第二阶段的攻击,其中包括 Claude Code 检查目标组织的系统和基础设施,并发现价值最高的数据库。克劳德能够在很短的时间内完成这种侦察,而这比人类黑客团队花费的时间要少得多。然后它向人类操作员报告其发现的摘要。
在攻击的下一阶段,克劳德通过研究和编写自己的漏洞利用代码来识别和测试目标组织系统中的安全漏洞。完成此操作后,该框架能够使用 Claude 获取凭证(用户名和密码),从而允许其进一步访问,然后提取大量私人数据,并根据其情报价值对这些数据进行分类。最高权限的帐户被识别,后门被创建,数据在最少的人工监督下被泄露。
在最后阶段,攻击者让克劳德制作全面的攻击文档,创建被盗凭证和分析系统的有用文件,这将有助于该框架规划威胁行为者网络行动的下一阶段。
总体而言,威胁行为者能够使用 AI 执行 80-90% 的活动,仅需要偶尔进行人工干预(每个黑客活动可能需要 4-6 个关键决策点)。人工智能执行的大量工作对于人类团队来说需要花费大量时间。人工智能每秒发出数千个请求,这种攻击速度对于人类黑客来说根本无法匹敌。
克劳德并不总是能完美地工作。它偶尔会产生幻觉凭证或声称提取了实际上公开的秘密信息。这仍然是完全自主的网络攻击的障碍。
网络安全影响
执行复杂网络攻击的障碍已大幅下降,而且我们预测这种情况将继续下去。通过正确的设置,威胁行为者现在可以长时间使用代理人工智能系统来完成整个经验丰富的黑客团队的工作:分析目标系统、生成漏洞代码以及比任何人类操作员更有效地扫描大量被盗信息数据集。经验不足和资源不足的团体现在有可能执行这种性质的大规模攻击。
即使根据我们发现的“vibe hacking”结果,这种攻击也是升级的今年夏天报道:在这些行动中,人类仍然处于循环之中,指挥着行动。尽管攻击规模更大,但人类参与的频率要低得多。尽管我们只能了解 Claude 的使用情况,但该案例研究可能反映了前沿 AI 模型的一致行为模式,并展示了威胁行为者如何调整其操作以利用当今最先进的 AI 功能。
这就提出了一个重要的问题:如果人工智能模型可能被滥用于如此规模的网络攻击,为什么还要继续开发和发布它们?答案是,克劳德能够用于这些攻击的能力也使其对于网络防御至关重要。当复杂的网络攻击不可避免地发生时,我们的目标是克劳德(我们已在其中建立了强大的防护措施),以协助网络安全专业人员检测、破坏并为未来版本的攻击做好准备。事实上,我们的威胁情报团队广泛使用了克劳德来分析这次调查期间生成的大量数据。
网络安全发生了根本性变化。我们建议安全团队尝试在安全运营中心自动化、威胁检测、漏洞评估和事件响应等领域应用人工智能进行防御。我们还建议开发人员继续投资于其人工智能平台的保障措施,以防止对抗性滥用。上述技术无疑将被更多的攻击者使用,这使得行业威胁共享、改进的检测方法和更强大的安全控制变得更加重要。
阅读完整报告。