Anthropic 分析 832 个 AI 恶意账户:中高风险攻击者半年从 33% 跃至 56%
这份报告用一整年的真实案例揭示了AI攻击正从初始入侵转向深度潜伏,连MITRE ATT&CK框架都开始跟不上。安全从业者值得一读,它告诉你下一波威胁长什么样。
Anthropic 分析 2025 年 3 月至 2026 年 3 月间 832 个被封禁的恶意账户,映射至 MITRE ATT&CK 框架。67.3% 使用 AI 编写恶意软件,6.5% 用于横向移动。六个月间中高风险攻击者占比从 33% 升至 56%。AI 用于账户发现增长 8.9%,AI 辅助钓鱼下降 8.6%。传统基于技术数量或平台(Claude Code、API、聊天界面)的威胁评估失效,而 MITRE ATT&CK 框架尚未收录此类智能体编排行为。
我们在一整年人工智能网络威胁测绘中学到了什么
随着人工智能改变网络攻击的本质和方法,安全社区使用的技术和框架还能保持多有效?
在一份新报告中,我们试图回答这个问题。我们研究了 2025 年 3 月至 2026 年 3 月期间因恶意网络活动被封禁的 832 个账户,并将它们映射到 MITRE ATT&CK——一个长期收录网络攻击者常用策略和技术的数据库。我们在 Verizon 的《2026 年数据泄露调查报告》(DBIR)中发布了其中部分结果,并在此分享更详细的分析。这 832 个案例只是该时期被封禁账户总数的一个子集,但它们代表了我们掌握足够细节、能够对攻击者技术进行彻底评估的那些案例。
我们的分析得出了三个主要结论:
恶意行为者正在以更危险的方式使用人工智能。更具体地说,威胁行为者正在其网络行动的后期、更复杂的阶段使用人工智能。
网络攻击正变得更加自主化,而人工智能可用于将攻击的许多环节串联起来,这一事实意味着过去区分高风险与低风险行为者的方式已不再那么有效。
MITRE ATT&CK 框架未能完全捕捉那些让人工智能驱动的攻击者如此危险的工具和活动。
下面我们提供每个结论的摘要。你可以在我们的前沿红队博客上阅读更长的分析。
人工智能如何让攻击者更危险
我们数据库中最常见的人工智能相关活动与准备网络攻击有关,例如编写恶意软件(在我们研究的 832 个账户中,有 560 个,即 67.3%,为此目的使用了人工智能)。较小比例的行为者将人工智能用于更复杂的活动——例如,832 个行为者中有 54 个(6.5%)使用人工智能辅助“横向移动”,这涉及在被攻破的网络深处进行导航。
我们发现了与人工智能被用于提高攻击者威胁等级相一致的证据。在我们分析的前六个月,33% 的行为者被我们的风险评分系统归类为中风险或更高。但到了后六个月,这一比例跃升至 56%——增加了约 1.7 倍。
在我们研究的这段时间里,攻击者对 AI 的使用从获取系统初始访问权的技术,转向了进入系统后开展的活动。例如,AI 用于账户发现(在已入侵环境中识别有效账户)的情况增加了 8.9%,而 AI 辅助的网络钓鱼(一种常见的获取系统访问权手段)则下降了 8.6%。这表明攻击者正越来越多地将 AI 应用到攻击生命周期的更深阶段。
这类“入侵后”技术过去仅限于具备相应技术知识的攻击者才能实施。我们的调查显示,现在可以让 AI 代表技术能力较弱的攻击者执行这些活动。
**为什么评估攻击者的威胁等级变得更难了**
安全团队如何评估网络攻击者的风险等级?传统上,他们会依据攻击者使用了多少种不同的技术、使用了什么工具或接口等信息。但我们的分析表明,这些信号已不再能准确反映某个威胁行为者的风险等级。
既然 AI 可以代表攻击者执行高度技术性的任务,那么攻击者的技能水平与他们使用的技术数量之间几乎没有关联:在我们的数据集中,技能最低的攻击者平均使用了约 16 种不同的技术,而技能最高的攻击者使用了约 20 种。同样,具体使用的平台——Claude Code、API 或聊天界面——也与攻击者的风险等级无关。
通常能帮助区分高风险攻击者的因素,是他们在攻击生命周期的哪个环节应用 AI。例如,他们倾向于将 AI 集中在操作性要求更高的技术上——即需要大量时间、监控或实时决策才能执行的技术,如账户发现、横向移动和权限提升,而不仅仅是那些能让他们获得系统初始访问权的任务。
但即便是这个信号也在逐步弱化:正如上一节所讨论的,随着越来越多的攻击者被归类为高风险,这些操作性技术正是更大范围攻击者正在转向的方向。更为持久的区分因素是攻击者在模型周围构建的脚手架类型:高风险攻击者设计的架构能让模型将网络攻击的各个离散阶段串联起来,并在最少人工输入的情况下执行。
**为什么安全框架需要改变**
许多最具风险的行为——例如利用AI依次编排攻击链中的各个步骤、实时决策下一步行动,以及在无需人类干预的情况下执行攻击——目前尚未被纳入MITRE ATT&CK框架的攻击技术分类中。
以我们于2025年11月挫败的一起由国家支持的网络间谍行动为例。在那起事件中,恶意行为者操控Claude Code,在极少人工干预的情况下试图渗透全球多个目标。对照MITRE ATT&CK框架映射后发现,该行为者使用了涵盖13种战术的30种技术,这与我们数据集中许多中等风险行为者的水平相当。显然,仅关注该行为者使用了多少种技术,会低估其真正的危险性(相比之下,我们的风险评分方法给这次攻击打出了100分的最高风险分)。
在那次攻击中,模型以自主智能体的方式运作:它执行命令、利用漏洞、窃取凭证并做出战术决策,仅在少数关键节点需要人工输入。目前ATT&CK框架中并没有针对这类智能体编排行为的ID——然而,随着AI智能体能力不断增强,这些恰恰是我们预计会越来越多地看到的行为。
展望未来
本次分析的结果为我们构建模型内置的安全防护措施提供了参考。例如,我们已在最强大的模型上开发并部署了网络安全防护功能,用于检测并拦截本文所发现的某些活动,如开发恶意软件或大规模数据泄露。继与Verizon的合作之后,我们目前正在与MITRE讨论如何将我们观察到的AI赋能行为纳入ATT&CK框架的演进中。
前沿模型正在迅速改变攻击者和防御者手中可用的工具。我们致力于帮助防御者领先于这些不断演变的战术,并首先将最强大的工具交到防御者手中。我们将继续分享从Project Glasswing项目、从本次收集的数据集以及从其他网络安全活动中所学到的经验。
在我们的Red博客文章中,我们分享了一个攻击者所用技术的交互式可视化图表,以帮助防御者领先于AI驱动的威胁。