AI驱动的网络攻击时代已经到来，如何防？

过去二十年来，预言家们一直在预测这样一个未来：黑客将利用人工智能入侵网络、窃取数据，并对轻信的员工实施社会工程学攻击。如今，在以大语言模型（LLM）为基础的生成式AI时代，这一预言终于成真。

上周，Anthropic公司披露了一起案例：一名黑客利用其AI技术发动了一场大规模勒索软件攻击的犯罪行动。该攻击者使用Claude聊天机器人完成了侦察、代码生成、凭证窃取、系统渗透以及撰写勒索信等全部流程，目标包括医疗机构、政府机构、宗教慈善组织和一家国防承包商在内的17家机构。

更令人震惊的是，AI甚至主动建议了赎金金额，从7.5万美元到50万美元不等，全部要求以比特币支付。这是已知首例由AI全程策划并自动化几乎每个步骤的勒索案件。

AI不仅在辅助网络攻击，甚至开始直接编写恶意代码。Anthropic与安全公司ESET发现，犯罪分子正利用生成式AI构建并持续更新真正的勒索软件代码。

Anthropic确认了一名来自英国的威胁行为者GTG-5004，此人开发、销售并维护由AI增强的勒索软件工具包。由于缺乏加密或反分析技术能力，此人完全依赖Anthropic的Claude聊天机器人来完成编码和软件打包工作。这些勒索软件服务根据不同功能组合定价，从400美元到1200美元不等，使得技术能力低下的罪犯也能轻易部署高级恶意软件。

这些程序还能动态变异，以逃避杀毒软件扫描，并在防御方反应过来之前绕过新的安全规则。ESET研究了一种名为“PromptLock”的概念验证攻击，该技术可利用基于OpenAI代码的开源模型生成并运行恶意脚本，并能实时调整策略，选择目标文件进行加密。

研究人员成功“越狱”聊天机器人

尽管生成式AI聊天机器人被设计为防止滥用，但黑客有强烈的动机去“越狱”这些工具，绕过其安全防护机制和对齐限制。Palo Alto Networks的研究人员展示了如何做到这一点：只需写出语法混乱的句子。

研究人员Tony Li和Hongliang Liu最近发表研究指出，包括谷歌的Gemma、Meta的Llama以及阿里巴巴的通义千问（Qwen）在内的大语言模型，都可能被语法错误、标点缺失的长句所欺骗。

语法混乱且没有结尾标点的句子会拖慢聊天机器人的安全“对齐”机制，从而使有害提示得以通过。这种方法可以诱使AI提供犯罪指导、收集私人信息、创建恶意软件或实施欺诈的指令。

Trail of Bits公司的研究人员Kikimora Morozova和Suha Sabi Hussain发现了另一种绕过聊天机器人防护的方法：将恶意指令隐藏在高分辨率大图中，利用AI的图像降级算法自动揭示这些信息。这样一来，生产级系统如谷歌的Gemini和Vertex AI就会复述出用户从未见过、也无意执行的指令——这被称为“多模态提示注入”攻击。

研究人员发现，这种攻击在多种系统上均有效，可感染从桌面工具到云API的各类平台。这种方法不仅能欺骗聊天机器人，也能欺骗用户。攻击者只需向大量用户发送带有隐藏指令的图片，就能利用他们发动大规模攻击。

骗子让AI代为开口

六年前，当犯罪分子使用深度伪造（deepfake）音频冒充企业高管进行诈骗时，网络安全界曾为之震惊。当时，诈骗者通过技术模仿德国母公司CEO的声音，致电其英国子公司CEO，紧急要求将24.3万美元转账至一家匈牙利供应商账户，理由是“紧急商业需求”。

在深度伪造时代，这类犯罪尚属罕见且新奇。但在生成式AI时代，它已变得司空见惯。

据McAfee专家称，现在只需三秒钟的某人说话录音，就足以生成极具说服力的虚假消息或电话。只要声音听起来像一个值得信赖的人，人们就可能毫不犹豫地交出金钱或机密信息。McAfee在2024年的一项全球研究中发现，每四人中就有一人本人或认识的人曾遭遇过AI语音诈骗。

得益于生成式AI，这些技术已经精妙到足以欺骗亲生父母。去年，一名加州男子接到电话，对方使用其儿子声音的克隆版本，声称遭遇车祸并被警方拘留，急需保释金。在多次施压后，这位父亲最终提取数千美元并转给了诈骗者。

2024年，犯罪分子克隆了意大利国防部长圭多·克罗塞托（Guido Crosetto）的声音， targeting 多位商界领袖——包括时尚巨头乔治·阿玛尼（Giorgio Armani）、普拉达的帕特里齐奥·贝尔泰利（Patrizio Bertelli）以及前国际米兰俱乐部老板马西莫·莫拉蒂（Massimo Moratti）。他们接到“克罗塞托”的电话，称有记者在危险地区被绑架。莫拉蒂因此被骗，向一个香港账户转账近100万欧元（后在荷兰被追踪并冻结）。

AI浏览器带来的新风险

在AI赋能的新型攻击领域——即那些在生成式AI出现之前根本不存在或无法实现的攻击——最大的挑战之一就是变化速度之快。以“AI浏览器”为例。

这类新型浏览器包括：Perplexity Comet、Dia（由The Browser Company开发）、Fellou、Opera Neon、Sigma AI Browser、Arc Max、微软Edge Copilot、Brave Leo、Wave Browser Pro、SigmaOS、Opera Aria、Genspark AI Browser、Poly、Quetta Browser、Browserbase、Phew AI Tab，以及即将推出的OpenAI浏览器。

其中最具“代理性”（agentic）的是Perplexity的Comet浏览器。它能自动点击链接、浏览网页、填写表单、管理邮件和日历、预订旅行、完成购物、分析浏览历史、自动化多步骤工作流、与已登录服务交互、跨网站比价、取消订阅邮件、从多个来源提取和整合信息、管理标签页的开合、自主执行复杂研究任务，并在整个浏览过程中提供具备上下文感知能力的对话式协助。

Guardio Labs的安全研究人员已证明，犯罪分子如今可以轻易欺骗AI浏览器实施犯罪。当研究人员指示Comet购买一块Apple Watch时，AI迅速访问了他们用基础网页工具在10秒内搭建的假冒沃尔玛网站。浏览器无视明显的欺诈迹象，自动填写了保存的信用卡和收货信息，完成了交易。测试中，Comet有时会拒绝交易或请求人工确认，但在其他情况下，它直接将敏感支付信息交给了诈骗者。

Brave和Guardio Labs还发现，犯罪分子可通过在虚假CAPTCHA测试中隐藏指令来操控Comet。这种攻击能让AI在用户不知情的情况下点击隐形按钮，绕过安全检查。

值得一提的是，Vivaldi浏览器CEO Jon von Tetzchner上周发布了一份明确声明，宣布该公司不会在其浏览器中集成AI功能，理由是“我们不会把探索的乐趣变成被动的旁观”。

以AI对抗AI

事实上，目前大多数网络攻击仍属于传统类型，无需AI协助即可完成，且多数仍源于人为失误。因此，所有标准的安全指南和最佳实践依然适用：企业应定期更新软件，所有登录均需启用多因素认证，并对员工进行识别钓鱼邮件和恶意链接的培训；外部专家应每年进行两次渗透测试；定期创建离线备份，可在遭遇AI勒索软件攻击后挽回巨大损失。

但在这个全新的AI网络攻击时代，AI驱动的网络安全工具已成为必需品。它们每秒可扫描数百万次网络活动，在问题发生前就发出预警。

不幸的事实是：由人工智能驱动的网络攻击时代，才刚刚开始。