AI 让黑客变强了？Anthropic 一年追踪 832 个恶意账号，发现攻击早已「后院起火」

过去一年，每当提起 AI 与网络攻击，人们最先想到的往往是“用大模型写钓鱼邮件”。但 Anthropic 最近发布的这份报告，用真实的遥测数据告诉我们：这只是冰山一角。他们分析了 2025 年 3 月到 2026 年 3 月间因恶意网络行为被封禁的 832 个账号，并将攻击者的行为映射到 MITRE ATT&CK 框架上，结果揭示了一个令人不安的趋势——AI 正在攻击的后半程发挥越来越大的作用。

AI 已从“敲门砖”变成“万能钥匙”

报告中最显眼的数字是，67.3% 的账号曾使用 AI 编写恶意软件，这符合大部分人的直觉。但真正值得警惕的，是那些低频却高危害的用法：有 6.5% 的攻击者用 AI 辅助“横向移动”，即在攻破一台机器后，在内部网络里寻找更有价值的目标。这种技术过去需要深厚的网络知识，现在 AI 可以把复杂的步骤拆解成可执行的指令，让新手也能完成。

更直观的指标来自风险评级的跃迁。在分析的前六个月，仅有 33% 的攻击者被评为中等风险及以上；到了后六个月，这个比例跳升到 56%，几乎翻了一倍。这种变化并非因为攻击者更聪明，而是因为 AI 降低了高级技术门槛，让大量原本只能“浅尝辄止”的入门级攻击者转型为可以潜伏、横移、长期窃密的内部威胁。

旧地图找不到新大陆：风险分级为何失灵？

安全团队传统上依赖几个信号来判断攻击者的危险程度：使用的技术数量、攻击工具的复杂度、操作的平台（脚本小子用一键工具，高级黑客用定制框架）。但 AI 彻底搅乱了这种分级。报告惊奇地发现，低技能攻击者平均使用 16 种不同的技术，而高技能攻击者也就用 20 种，差距极小。至于通过 Claude Code、API 还是聊天界面攻击，也与风险高低没有明显关联。

换句话说，过去我们通过“招式多不多、工具炫不炫”来识别高手，现在 AI 让所有人都有了华丽的拳架，但真正的伤害性在于攻击者的意图和 AI 被用在哪个致命环节。如果一个攻击者用 AI 来内网扫描、寻找域控服务器，哪怕他只会点“下一步”，也比一个手工打造高效木马的人更具威胁。

MITRE 框架的盲区：缺了“AI 技巧”这一项

报告对业界的另一个当头棒喝是：MITRE ATT&CK——这个全球安全从业者奉为圭臬的战术技术知识库，并没有为 AI 的攻击模式预留位置。例如，攻击者可能让 AI 实时分析内网流量并自主决定下一个横向移动的目标，这种“AI 驱动的动态决策”在现有的矩阵里找不到对应的技术条目。随着 AI 自动化攻击链的各个部分，我们需要新的分类法来描述 AI 如何被集成到战术里，否则威胁情报可能漏掉最关键的那张牌。

对防御者来说，这意味着什么？

首先，别再迷信“技术数量”指标了。未来的威胁狩猎应该聚焦在攻击者把 AI 用在了攻击生命周期的哪个阶段：如果看到大量的内部侦察和利用后活动，就要立即拉响最高警报。其次，安全社区需要携手（就像 Verizon 将本报告的部分发现纳入其《数据泄露调查报告》那样），在标准框架中加入 AI 特有的技巧和子技巧。最后，这件事揭示了一个深层趋势：AI 不会创造全新的攻击类别，而是会放大并自动化已有的高风险行动。防御的真正难点，是区分“脚本小子按了个增强按钮”和“精英黑客拿到了新武器”，而这两者从外部特征看已经越来越像了。

原文地址: What we learned mapping a year’s worth of AI-enabled cyber threats