问题——攻击工具实现自动化生产 国际安全企业近期发布的威胁情报报告指出,网络犯罪生态出现新变化:有组织的犯罪团伙开始利用AI技术生成恶意程序并直接用于攻击。报告中提到的"Slopoly"样本就出现一次勒索软件攻击中,攻击者通过它在受害服务器上维持了超过一周的持续访问。虽然该样本功能并不复杂,但它传递出一个明确信号——恶意代码开发正从"手工编写"转向"自动化拼装",整个攻击链条因此可能加速。 原因——门槛降低与规避技术推波助澜 分析表明,生成式AI在代码编写、脚本组合、错误修复各上能力不断增强,使攻击者能以更低成本完成从"构思到编写再到测试投放"的全流程,减少了对高水平开发者的依赖。攻击者还通过特定指令绕过模型的安全限制,获取可用于入侵的代码。从代码质量看,这些样本更像是由能力一般的模型生成后再经简单加工。另一家安全厂商的研究也证实了此趋势:攻击者正利用自动化手段减少勒索软件部署中的手动操作,把更多精力投入到渗透、横向移动和勒索谈判等环节。 影响——速度更快、变种更多、追踪更难 业内人士指出,AI生成的恶意程序即便技术复杂度不高,也会在规模化和快速化上造成现实威胁。首先,攻击节奏明显加快。过去需要数天甚至数周准备的工具和脚本,现在可能在更短时间内完成,企业的发现和处置窗口被继续压缩。其次,变种数量大幅增加。攻击者不再重复使用固定的恶意软件家族,而是针对每次行动快速生成外观不同、功能相近的新样本,以躲避基于特征的检测。再次,溯源难度上升。若同一团伙能低成本产出大量"相似但不一致"的代码,安全机构将更难把分散事件关联到同一开发者或组织,影响打击效率和司法取证。 报告还将"Slopoly"与Hive0163团伙的活动有关联。该团伙是由多个动态子集群组成的松散联盟,掌握私有加密器、恶意软件框架和多种勒索变体,常通过定制后门对受害网络实现长期控制,配合数据窃取和勒索施压。一旦这类组织化团伙形成"工具自动生成—快速投放—频繁换壳"的流程,其攻击将更具持续性和隐蔽性。 对策——模型治理与企业防护双管齐下 专家建议从供给端和使用端同时发力。在技术供给侧,平台和服务提供方应完善安全对齐和滥用检测机制,加强对高风险指令、可疑模式和批量生成行为的识别拦截,建立可追溯的审计流程,并与安全机构共享威胁信息。在企业防护侧,应采用纵深防御应对自动化攻击:强化身份和权限的最小化管理,完善日志记录和异常行为分析,提升对横向移动、持久化驻留和数据外传等关键环节的检测能力;同时定期开展红蓝对抗演练和勒索事件应急演练,形成从发现、隔离、备份恢复到对外通报的完整处置流程。对关键行业而言,还需加强供应链安全评估和分级防护,防止单点失守导致系统性风险。 前景——威胁格局面临重塑,防御需要创新 多方研判认为,AI的对抗性使用仍在加速扩散。短期看,AI生成的代码未必立刻形成"技术碾压",但会在攻击效率、变种多样性和归因难度上持续施压;中长期看,若自动化能力与地下产业链结合更紧密,网络犯罪的组织方式、分工结构和商业模式都可能改变。防御方需要从单纯依赖静态特征和已知样本,转向以行为、链路和情报驱动的动态防护,并推动跨机构、跨行业的协同联动,缩短从发现到阻断的时间差。
技术的双刃剑效应日益凸显;在享受智能技术带来的便利同时,必须同步构建相应的安全防护体系。这场网络空间的安全竞赛既是对技术创新能力的考验,更是对社会协同治理能力的挑战。唯有主动应对、未雨绸缪,才能在数字化时代筑牢安全防线。