2025 年,威胁攻击者将广泛使用的人工智能工具武器化,用于发起快速、精准的网络入侵。
CrowdStrike《2026 年全球威胁报告》显示,AI 辅助攻击同比激增 89%。攻击者利用自动化与机器生成脚本,将从初次入侵到完全控制域内权限的时间压缩至30 分钟以内。
入侵速度成为 2025 年威胁态势最鲜明的特征。
网络犯罪的平均突破时间(从获得初始权限到横向渗透其他系统的间隔)降至29 分钟,较 2024 年提速 65%。
有记录的最快突破仅用时27 秒。在一起典型案例中,攻击者在首次接入后4 分钟内就开始窃取数据,企业几乎没有任何响应时间。
CrowdStrike 分析师指出,这种攻击提速与滥用 AI深度相关。攻击者不仅利用 AI 定制恶意软件,还会向受害者环境中运行的合法 AI 工具注入恶意提示词。
2025 年 8 月,攻击者将恶意 JavaScript 注入 npm 软件包,劫持受害者本地运行的 Claude、Gemini 等 AI 工具,窃取身份凭证与加密货币资产。
CrowdStrike 服务团队与 OverWatch 响应了超过 90 家受影响客户。
一起典型案例来自CHATTY SPIDER组织。该网络犯罪团伙通过语音钓鱼攻击一家美国律师事务所,诱骗员工通过微软 Quick Assist 授予远程访问权限。
4 分钟内,CHATTY SPIDER 就尝试使用 WinSCP 将窃取的文件发送到攻击者控制的服务器。
在被防火墙拦截后,攻击者转而使用 Google Drive。CrowdStrike OverWatch 在数据外泄前成功阻止了攻击。
除单次行动外,FAMOUS CHOLLIMA等组织已构建全流程 AI 辅助攻击流水线。
他们利用 ChatGPT、Gemini、GitHub Copilot、VSCodium 等工具伪造身份、管理多账号,并以虚假身份执行技术性操作。
其 2025 年活动量较 2024 年翻倍,凸显 AI 大幅降低了大规模欺骗式攻击的实施门槛。
攻击者如何在攻击全链路中将 AI 武器化
PUNK SPIDER是 2025 年最活跃的勒索软件组织,已记录入侵事件 198 起。该组织使用 Gemini 生成脚本,从 Veeam 备份数据库中提取凭证,并很可能使用 DeepSeek 生成脚本停止服务、销毁取证痕迹。
与俄罗斯相关的FANCY BEAR组织部署了 LAMEHUG 恶意软件,通过硬编码提示词调用 Hugging Face 上的 Qwen2.5-Coder-32B-Instruct 大模型,执行侦察、收集文档并准备外泄。
这种方式用AI 动态生成内容替代了固定代码逻辑,可绕过静态安全工具。值得注意的是,2025 年82% 的检测事件无恶意软件,意味着大多数攻击通过合法通道实施,而非传统恶意程序。
机构应监控终端上的 AI 工具使用、及时修补 AI 平台、审计 npm 依赖,并在身份、云与 SaaS 环境间保持跨域可视性,以便在攻击者横向渗透前发现快速入侵。
发表评论
您还未登录,请先登录。
登录