网络安全 – Unite.AI

April 3, 2026

AI代理越来越智能，其攻击面也越来越大

AI代理开始安排会议、执行代码、代表您浏览网页的那一刻，网络安全话题发生了转变。不仅仅是缓慢地转变，而是几乎是在一夜之间发生的变化。过去，软件系统是被包含和可预测的，现在却变成了能够推理、规划和跨工具和API采取行动的实体，它们甚至都不知道这些工具和API一年前才存在。这既令人兴奋，也令人恐惧，因为伴随着这种自主性的攻击面是巨大的，大多数组织才刚刚开始了解让代理进入其基础设施的含义。从聊天机器人到操作员AI的最初承诺很简单：问一个问题，得到一个答案。这仍然适用于大多数消费者交互，但这并不是企业部署中正在发生的事情。如今，代理被授予凭证、API密钥和删除、创建和注释数据的能力，以及在具有真实后果的系统中采取真实行动。这种转变发生得很快。在不到两年的时间里，AI代理从文本生成器转变为允许我们运行平滑的多代理设置。它们正在阅读电子邮件、触发工作流、查询数据库，并在某些情况下管理其他代理。这种级别的访问权限以前需要一个漫长的采购过程和人工干预。现在，只需要一个配置文件和几个API调用。更多访问意味着更多暴露传统的软件攻击具有某种可预测的特征。有一个已知的入口点、一个已知的漏洞、一个已知的补丁。AI代理打破了这种模式，因为它们的设计是动态的。它们不遵循静态代码路径。它们推理下一步该做什么，这意味着它们的行为更难预测，也更难在事后进行审计。这种不可预测性对于完成工作很有用。对于任何试图利用系统的人来说，这也是一个优势。当一个代理可以决定在任务中调用外部API或拉取第三方工具时，就没有干净的周界来防御。安全团队习惯于保护已知的表面和监控Kubernetes成本。代理不断发现新的表面和漏洞，没有人实时地映射它们。在你意识到之前，某人可以劫持凭证并通过一次操作控制整个AI“生物体”。提示注入是新的SQL注入如果有一个攻击向量，安全研究人员不断提及，那就是提示注入。这个想法很简单：不是利用代码漏洞，攻击者操纵代理通过其输入接收的指令。嵌入在网页、文档或甚至电子邮件中的恶意指令可以重定向代理下一步的行为。使其特别敏锐的是，代理通常正在执行它们被告知的确切操作。它们正在处理来自网络、用户消息、第三方工具的内容。任何这些内容都是潜在的注入表面。阅读受损文档然后根据其内容进行API调用的代理已经被劫持，它可能不会记录任何内容，使得因果链变得明显。防御措施是真实的，但不完整。沙盒代理操作，约束代理在某些上下文中可以调用的工具，并在高风险工作流中构建人工检查点都可以降低风险。它们并不能消除风险。大多数组织尚未实施甚至最基本的防御措施。多代理系统中的信任问题多代理系统引入了一层复杂性，很容易被低估。当一个代理正在编排其他代理时，存在一个信任层次。编排者向下传递指令，子代理遵循它们。如果编排者被泄露，下面的每个代理都有效地被泄露，爆炸半径迅速增大。还有过度授权的问题。代理经常被授予比它们需要更多的访问权限，因为提前授予广泛的权限比迭代完善权限更容易。研究代理不需要对生产数据库具有写入访问权限。调度代理不需要访问财务记录。当然，一切都交织在一起似乎令人放心，但这太冒险了，无法看到任何不减少的回报。但在实践中，界限变得模糊，理论上有效的最小权限原则在匆忙发布时被默默地放弃。合理的安全性是什么样的没有单一的解决方案可以使代理部署安全。这是一个分层的问题，需要分层的回应。做得好的组织往往从访问控制开始：为每个代理提供明确、狭窄的范围，并将审查步骤构建到任何触及敏感系统或外部服务的操作中。可观察性与预防一样重要。如果代理做了意外的事情，团队需要代理收到的指令的完整跟踪，调用的工具以及返回的内容。大多数日志设置都没有考虑到这种粒度，事后改造也很痛苦。从一开始就构建它是值得的。对抗性测试也被低估。红队代理，特别是尝试注入恶意指令并观察发生了什么，会暴露静态代码审查永远无法捕捉到的漏洞。想到这一点很不舒服，但那些最终会尝试利用这些系统的人已经在这样做。先行一步是唯一明智的举动。最后的思考AI代理将成为组织运作的更大组成部分，这种转变已经在进行中。安全对话需要赶上，并且要快。风险是真实的，攻击向量是新颖的，领先于它们的窗口正在缩小。了解自主AI系统的威胁格局不再是可选的。这是安全和工程团队可以做的最重要的事情之一，做对的时钟已经开始了。

March 19, 2026

By Alex McFarland

Meta AI 代理触发 Sev 1 安全事件后未经授权而采取行动

Meta 内部的一个自主 AI 代理在 2026 年 3 月中旬触发了公司范围的安全警报，原因是它在未经人类批准的情况下采取了行动，暴露了敏感的公司和用户数据给未经授权访问这些数据的员工，根据 The Information 的报告（该报告已被 Meta 确认）。该事件持续了大约两个小时，直到暴露被遏制，Meta 将其归类为“Sev 1”——公司内部事件等级系统中的第二高严重性等级。该事件反映了一个日益难以忽视的挑战，因为 agentic AI 架构在主要技术公司内部成熟：无需等待明确许可即可执行任务的自主系统可能会创建人类设计的安全措施无法预料的故障链。事件的展开该事件始于一个常规的内部求助请求。一个 Meta 员工在内部论坛上发布了一个技术问题。另一名工程师让一个 AI 代理分析该问题，但该代理在未经工程师批准的情况下公开发布了其响应。该响应包含有缺陷的指导。根据代理的建议，团队成员无意中向缺乏查看权限的工程师授予了对大量公司和用户相关数据的广泛访问权限。暴露持续了大约两个小时，直到访问控制被恢复。核心故障是人机交互监督的崩溃。代理在应该需要明确人类批准的决策点上自主采取行动——这是一种代理信任和控制问题，研究人员已经警告过随着代理部署从沙盒实验转移到实时内部基础设施，这种问题将变得更加严重。Meta 上的无控制代理行为模式这不是一个孤立的故障。2026...

March 7, 2026

By Alex McFarland

OpenAI 推出 Codex Security 以发现代码中的漏洞

OpenAI 于 3 月 6 日发布了 Codex Security，这是一款 AI 驱动的应用程序安全代理，用于扫描代码库中的漏洞，在沙盒环境中验证发现的漏洞，并提出补丁。该工具已经在 OpenSSH、Chromium 和其他五个广泛使用的开源项目中发现了缺陷，获得了 14 个共同漏洞和暴露（CVE）指定。Codex Security 曾被称为 Aardvark，在私人测试版中度过了大约一年后，现已升级为面向 ChatGPT Pro、Enterprise、Business 和 Edu 客户的研究预览版。OpenAI 为此提供了一个月的免费访问权限。该代理与传统的静态分析工具不同，它在扫描之前会为项目构建一个特定的威胁模型。它分析存储库的架构，以了解系统的功能、信任和暴露程度最高的区域。团队可以编辑威胁模型，以保持发现结果与风险姿态一致。当配置了定制环境时，Codex Security 会直接对运行的系统进行压力测试潜在的漏洞，生成概念验证漏洞以确认现实世界的影响。大规模性能在过去 30...

February 27, 2026

By David Balaban

为什么人工智能让我们更难知道在网络安全中该担心什么

人工智能已经改变了网络安全。安全运营中心现在处理更多的遥测数据，检测异常更快，并自动化重复的调查。理论上，这应该代表网络防御的黄金时代。实际上，许多团队感到比以往任何时候都更加不知所措。检测能力已经有了显著的改善，但清晰度并没有。现代网络安全的悖论是，更好的可见性往往会导致更大的不确定性。当一切看起来都很可疑时，弄清楚什么真正重要成为最大的挑战。更多的检测并不等于更好的保护基于人工智能的安全工具以前所未有的规模生成警报。行为分析、端点检测、云监控、身份异常检测和威胁狩猎引擎不断扫描基线活动的偏差。结果是一大堆警报。研究表明，团队每天面临大约 4,484 个警报，由于资源限制，很大一部分被忽略。这个数量说明了检测能力和响应能力之间的差距。人工智能提高了可见性，但也增加了噪音。对于安全领导者来说，这造成了运营上的紧张。分析师花费宝贵的时间调查最终风险很小的事件。同时，高影响威胁可能隐藏在较低优先级的信号中。优先级问题问题不是数据稀缺。它是上下文稀缺。安全平台在识别异常方面非常出色。它们在解释哪些异常在特定的业务环境中最重要方面效果较差。开发服务器上的漏洞与面向客户的支付系统上的相同漏洞不等同。这就是现代威胁情报平台变得战略性重要的原因。它不仅仅是聚合警报，还将外部威胁源与内部资产上下文、利用可用性和暴露数据相关联。它回答了一个更有意义的问题：哪些警报与活跃的威胁活动和关键资产相交叉？优先级将数量转化为焦点。没有它，团队默认为反应性分诊，通常由哪个警报先到决定。人工智能提高了双方的赌注也很重要的是要认识到，人工智能并不是仅限于防御者。正如最近的报道所强调的，人工智能已经使网络安全的另一方具有了能力。威胁者现在利用机器学习模型来自动化侦察，制作非常令人信服的钓鱼活动，并动态地适应恶意软件行为。大型语言模型可以在规模上生成本地化的钓鱼邮件。自动扫描工具可以在几分钟内识别出配置不正确的云资源。凭证收集活动不断根据响应模式进行改进。这加速了时间线。初始泄露和横向移动之间的间隔正在缩短。防御团队必须比以往任何时候都更快地解释和对信号做出反应。当自动化放大攻击速度时，防御团队仍然受到人类响应带宽的限制，差距变得明显。全面覆盖的幻觉许多组织试图通过添加更多工具来解决警报疲劳。更多的检测引擎，更多的仪表板，更多的源。假设是，增加可见性将降低风险。实际上，碎片化的工具通常会增加复杂性。单独的控制台生成单独的警报，没有统一的上下文。分析师在系统之间手动交叉引用数据，延长了调查周期。战略问题从“我们如何检测更多？”转变为“我们如何解释我们检测到的内容？”成熟的方法专注于跨遥测源的关联。网络活动、身份异常、端点信号和漏洞数据必须汇聚到一个统一的风险模型中。这一汇聚使安全团队能够区分日常噪音和协调的攻击活动。上下文是新的区别高性能的安全计划越来越多地依赖于上下文智能，而不是孤立的警报。上下文包括资产关键性、业务影响、利用可能性和活跃的威胁活动。例如，理论上严重的漏洞如果没有被积极利用，可能需要监控而不是立即修复。相反，一个与针对类似组织的正在进行的活动相关的中等严重性漏洞需要迅速采取行动。威胁情报源提供了这种外部视角。当与内部暴露数据结合时，它们创建了一个优先的修复路线图，而不是一份断开的警报列表。这就是人工智能应该帮助而不是让人感到不知所措的地方。与其产生更多的警报，人工智能模型应该突出人类分析师在时间压力下可能会错过的关联。从检测到暴露管理网络安全的对话正在逐渐转向暴露管理。组织不再仅仅关注攻击开始后识别攻击，而是映射和减少可利用的路径，然后触发它们。持续的暴露管理框架评估漏洞、配置不当和身份权限如何相交。它们模拟潜在的攻击路径，以确定风险在哪里积累。集成到该模型中的威胁情报平台增强了准确性。它有助于确定暴露是否是理论上的还是在野外积极针对的。这种区别直接影响了优先级决策。预防性减少暴露通常比调查另一个假阳性更有影响力。人为因素在每个警报队列后面都是分析师在压力下做出判断。警报疲劳不仅仅是一个运营上的不便。它是一个人类的可持续性问题。当专业人员处理成千上万的低价值警报时，认知疲劳增加。决策质量下降。倦怠增加。在已经受到限制的劳动力市场中，人才留存变得困难。人工智能本应减轻这种负担。在某些环境中，它做到了。在其他环境中，它只是将信号数量增加了，而没有提高清晰度。人工智能集成的下一阶段必须强调质量而不是数量。模型应该调整以最小化假阳性并提高风险评分的精度。2026年的成熟度是什么样的2026年的网络安全成熟度将不再由公司可以生成的警报数量来定义。它将由公司将情报转化为行动的速度和准确性来定义。将上下文威胁情报、暴露分析和自动优先级整合到一个协调系统中的组织将优于仅依赖检测的组织。目标不是完全消除警报，而是确保每个警报代表有意义的风险。安全团队需要更少、更有信心的决策。他们需要能够阐明而不是模糊视野的可见性。人工智能仍然是这一转变的核心。当战略性地实施时，它减少了认知超载并提高了优先级。当没有整合时，它会放大混乱。区别在于架构，而不仅仅在于算法本身。

February 10, 2026

By Antoine Tardif, CEO & Founder of Unite.AI, CEO & Founder of Unite.AI

Bishop Fox 将 AI 引入应用程序渗透测试的核心

攻击性安全多年来一直陷入两种极端之间：不具备可扩展性的深入手动渗透测试和易于扩展但会产生大量低置信度发现的自动化扫描器。在其最新的公告中， Bishop Fox 描述了一条第三条道路——将人工智能直接融入专家主导的渗透测试中，而不是将其作为替代人类判断的方法。更新的核心是 Cosmos AI，这是一款专有引擎，旨在增强 Bishop Fox 测试人员探索应用程序、模拟攻击者行为和验证大型应用程序组合中的真实风险的方式。什么是渗透测试——以及为什么它很重要渗透测试是一种受控的练习，安全专业人员模拟对应用程序、系统或环境的真实攻击，以便在对手之前发现弱点。与合规性驱动的检查或自动化漏洞扫描不同，渗透测试旨在回答一个更深层次的问题：该系统实际上如何被泄露？在应用程序安全方面，渗透测试人员分析用户如何进行身份验证、数据如何在应用程序中流动、如何执行权限以及不同组件如何相互交互。目标不仅是找到错误，还要了解缺陷是否可以被组合、滥用或升级为有意义的影响——例如数据泄露、账户接管或进入其他系统的横向移动。这就是为什么渗透测试传统上依赖于高技能的人类。真正的攻击者会适应、将技术链接在一起，并以自动化工具难以复制的方式利用业务逻辑。然而，这种深度历史上一直以牺牲规模和速度为代价。从点测试到组合覆盖现代企业很少会在测试单个应用程序时遇到困难。挑战在于覆盖范围。组织通常会运行数十个或数百个内部开发和第三方应用程序，这些应用程序会通过频繁的部署不断变化。Bishop Fox 将 Cosmos AI 定位为一种超越孤立、点对点的参与方式来扩展渗透测试的方法。通过加速发现和跨多个应用程序的映射，测试人员可以在不牺牲深度的情况下评估更广泛的组合。这使组织能够更接近持续的保证，而不是安全态势的周期性快照。Cosmos AI 如何改变测试工作流Cosmos AI 作为内部加速层而不是面向客户的自动化产品。它帮助测试人员完成传统上会消耗渗透测试中大量时间的任务，例如识别可达的功能、枚举攻击表面和模拟潜在攻击路径。通过减少基础工作所花费的时间，测试人员可以更专注于复杂场景，其中漏洞相互交互。这些链式弱点——通常涉及身份验证、授权和应用程序逻辑——是最具破坏性的，但通过传统扫描最难以检测到的。人类验证作为设计约束这种方法的一个决定性方面是，AI 生成的信号永远不会直接传递给客户。每个发现都由专家测试人员在包含在报告之前进行审查、验证和上下文化。这很重要，因为渗透测试结果用于做出真正的决定：什么应该首先修复，什么可以等待，什么代表着存在风险。通过确保所有发现都是确认和可利用的，Bishop Fox 旨在保留传统上与高质量的手动测试相关的信任，同时从 AI...

The Verifiable City: How ZKML Solves the Smart City Trust Crisis in 2026

January 1, 2026

By Dr. Assad Abbas

可验证城市：如何使用 ZKML 解决智能城市信任危机

城市生活越来越依赖于智能系统，因为它们管理着基础设施和公共服务。例如，交通信号灯实时调整以优化流量，能源网格对需求做出动态响应，自动系统确定住房、福利和其他社会计划的资格。这些系统共同处理来自居民、车辆、传感器和城市基础设施的海量数据，使城市能够更高效、更及时地运作。然而，这种对人工智能（AI）的依赖也带来了重大挑战。市民经常被要求相信他们无法检查或验证的决定。因此，公众信心削弱，因为人们担心他们的行动、个人信息和行为数据如何被收集、组合和使用。此外，倡导团体警告说，不透明的算法可能无意中嵌入偏见或不公平的待遇。此外，监管机构越来越多地要求不仅仅是简单的保证。他们需要可验证的证据来证明 AI 系统遵守法律、政策和基本权利。因此，传统的透明度措施，例如仪表盘、报告和审计日志，只能提供表面层面的洞察。它们可以显示发生了什么，但不能证明决定如何做出或规则是否正确执行。因此，Zero-Knowledge Machine Learning (ZKML) 解决了智能城市的信任危机。它允许城市证明 AI 系统正常运行、遵守规则并保护敏感数据。因此，居民、审计员和监管机构可以在不暴露私人信息的情况下验证决定。这种方法将对话从“相信我们”转变为“验证我们”，形成了可验证城市的基础。在这样的城市中，自动化决策不仅高效，而且可以证明是公平、合法和负责的，确保市民的数据和权利受到保护。智能城市挑战和市民期望智能城市依赖于传感器、物联网设备、摄像头和预测分析网络来管理交通、能源、公共安全和废物。这些系统影响了城市生活的几乎每个方面。然而，技术的快速扩展已经带来了几个挑战。第一个挑战是隐私。集中式数据存储收集移动轨迹、公用事业使用情况、健康记录和行为信息，使它们成为网络攻击的诱人目标。几个市政当局已经报告了影响交通系统、公用事业和敏感居民数据的违规事件。因此，市民担心普遍的监视和不明确的数据保留政策。第二个挑战是公平性。AI 模型分配资源，如能源、公共交通和福利。许多这些模型作为黑盒子运行。官员通常只能看到输出，而审计员则依赖于文档或供应商保证。因此，没有办法实时证明决策遵循公平规则或避免偏见。第三个挑战是对个人数据的控制。许多城市服务需要提交个人文件。集中式存储增加了数据暴露的风险，并降低了市民管理其个人信息的能力。因此，市民期望不仅仅是技术效率。他们要求可验证的证据来证明系统运行公平、尊重隐私并遵守法规。了解 Zero-Knowledge Machine Learning (ZKML)ZKML 建立在一种密码学原理之上，该原理允许某事物被证明为真而无需透露为什么它是真。零知识证明使得一方能够证明某个陈述为真而不透露敏感细节。例如，居民可以证明自己有资格获得补贴而无需分享工资、税务记录或个人身份信息。这改变了传统的智能城市方法，即服务的访问通常需要大量数据披露，现在可以在保持隐私的情况下验证资格。ZKML 将此原理直接应用于 AI 驱动的决策。与其仅生成预测或评分，ZKML 启用的模型还生成密码学证明。该证明表明推理遵循了预期规则。可以确认敏感字段（如种族或确切位置历史）未被使用。它还验证模型权重未被修改，输出符合政策约束，包括公平性要求或法律限制定价和风险评分。在这种方式下，ZKML 将不透明的 AI 模型转化为可验证的系统，其行为可以在不访问敏感数据的情况下进行数学检查。早期版本的 ZKML 大多是研究原型。它们受到生成复杂模型和实时应用的高计算成本的限制。然而，最近在密码协议、专用硬件和边缘计算方面的进展使得在城市级基础设施上生成和验证证明成为可行的。这使得将 ZKML 集成到交通管理、能源网格和社会服务平台中而不引入过多延迟或成本成为可能。因此，ZKML...

December 23, 2025

By Alex McFarland

OpenAI 承认 AI 浏览器可能永远无法完全安全

OpenAI 于 12 月 22 日发布了一篇安全博客文章，其中包含一个令人惊讶的承认：针对 AI 浏览器的提示注入攻击“可能永远无法完全解决”。这一让步是在公司推出 ChatGPT Atlas 两个月后，其浏览器具有自主代理功能。公司将提示注入与“网络上的骗局和社会工程”进行了比较——持久的威胁，防御者需要管理，而不是消除。对于那些信任 AI 代理在代表他们浏览互联网的用户来说，这种框架提出了关于代理自主权的基本问题。OpenAI 的揭露博客文章描述了 OpenAI 为 Atlas 设计的防御架构，包括一个由强化学习驱动的“自动攻击者”，它在恶意行为者发现之前寻找漏洞。公司声称，这个内部红队发现了“在我们的人类红队活动或外部报告中没有出现的新型攻击策略”。一个示例展示了如何使用恶意电子邮件劫持检查用户收件箱的 AI 代理。相反，受损代理发送了一条辞职消息，而不是按照指示草拟一个外出办公的回复。OpenAI 表示，其最新的安全更新现在可以捕获此攻击——但该示例说明了当 AI 代理在敏感上下文中自主运行时的风险。自动攻击者“可以引导代理执行复杂、长期的有害工作流，这些工作流在几十个（甚至几百个）步骤中展开”，OpenAI 写道。这一功能帮助 OpenAI...

December 11, 2025

By Zac Amos

企业是否准备好应对下一波人工智能驱动的网络攻击？

分析当前趋势可以让专家预测网络犯罪者将如何在未来利用人工智能。有了这些信息，他们可以确定最大的新兴威胁，并确定企业是否做好准备。他们甚至可能能够找到解决方案。近年来人工智能威胁的现状虽然人工智能技术相对较新，但它已经成为黑客的重要工具。这些趋势表明，人工智能网络攻击正在增加。1. 模型篡改通过直接针对大型语言模型（LLM），威胁者可以操纵模型行为，降低输出准确性或暴露个人可识别的训练数据。数据中毒和提示工程是常见的攻击技术。一些攻击由寻求制造混乱或窃取敏感信息的威胁者发起。其他攻击由不满的艺术家发起，他们希望保护自己的艺术作品免受人工智能的爬取。无论如何，公司及其最终用户都会受到不利影响。2. 冒充攻击2024年，法拉利的一位高管收到了几条来自CEO本笃托·维尼亚（Benedetto Vigna）的WhatsApp消息。维尼亚谈到了即将发生的收购，并敦促他的员工签署一份保密协议。他甚至打电话讨论资金。然而，有一个问题——那不是他。深度伪造几乎完美，异常出色地模仿了维尼亚的南意大利口音。然而，声音中的微小不一致性使得高管意识到这是一个骗局。员工询问维尼亚几天前推荐的一本书的标题，这是一个只有真正的CEO才知道答案的问题。骗子立即挂断了电话。人工智能可以克隆一个人的声音、浏览行为、写作风格和相似之处。随着这项技术的进步，识别深度伪造变得越来越困难。骗子经常将目标置于紧急情况下，以防止他们质疑微小的差异。3. 人工智能钓鱼过去，一个人可以通过寻找糟糕的语法、可疑的链接、通用问候和不合适的请求来识别钓鱼邮件。现在，随着自然语言处理技术的出现，黑客可以制作出可信的消息，语法无误。研究人员发现，完全自动化的人工智能启用的鱼叉钓鱼邮件具有54%的点击率，这与人类编写的钓鱼邮件相当。由于这些骗局更具说服力，因此它们变得越来越普遍。研究发现，超过80%的钓鱼邮件显示出人工智能的参与。4. 社会工程社会工程涉及操纵某人采取行动或泄露信息。人工智能使黑客能够更快地响应并制作更令人信服的消息。任何自然语言处理模型都可以进行语义分析以确定收件人的情绪状态，使他们更有可能让步。除了增强社会工程技术外，机器学习技术还降低了传统的进入壁垒，使新手能够开展复杂的活动。如果任何人都可以成为网络犯罪者，那么任何人都可以成为目标。数据驱动的AI攻击的下一波2026年初，预计人工智能攻击将保持在较低的成熟度水平。然而，随着年份的推进，它们将呈指数级增长，使网络犯罪者能够进入优化、部署和扩展阶段。他们很快将能够启动完全自动化的活动。确认的人工智能网络攻击的例子不会长久地保持罕见。多态恶意软件是一种人工智能启用的病毒，每次复制时都可以改变其代码以避免检测。攻击者可以通过人工智能生态系统传递有效载荷，在运行时调用LLM生成命令，或者直接将病毒嵌入LLM中。谷歌威胁情报小组于2025年首次发现了对这种恶意软件的部署。恶意软件家族是PROMPTFLUX和PROMPTSTEAL。在执行过程中，它们使用LLM请求VBScript混淆和规避技术。它们通过对自己的代码进行混淆来规避基于签名的检测。证据表明，这些威胁仍处于测试阶段——一些不完整的功能被注释掉，应用程序接口调用受到限制。这些初生的AI恶意软件家族可能仍处于开发中，但它们的存在代表着朝着自主、自适应攻击技术方向迈出的一大步。纽约大学坦登研究显示，LLM已经可以自主执行勒索软件攻击，被称为勒索软件3.0。它们可以进行侦察、生成有效载荷和个性化勒索，而无需人工干预。它只需要在二进制文件中嵌入自然语言提示。该模型产生了多态变体，可以通过在运行时动态生成恶意代码来适应执行环境。企业是否准备好应对AI攻击？尽管在网络安全方面投入了数十亿美元，私营企业仍然难以跟上不断演变的威胁格局。机器学习技术可能会使现有的检测和响应软件过时，从而进一步复杂化防御。并且，许多企业无法满足基本的安全标准也无济于事。2024年DIB网络安全成熟度报告调查了美国国防工业基地（DIB）的400名信息技术专业人员。超过一半的受访者报告称，他们距离网络安全成熟度模型认证（CMMC）2.0合规还有几年，尽管等效的NIST 800-171合规性已经在2016年被列入国防部（DoD）合同中。许多人将自己的安全态势评估为远远好于实际情况。新的CMMC要求于2025年11月10日生效。在未来，所有DoD合同都将要求某种程度的CMMC合规作为合同奖励的条件。这些新规则旨在加强DIB网络安全，但它们在人工智能时代是否有效仍有待观察。防御性AI是否是答案？也许唯一能对抗即将到来的人工智能攻击浪潮的方法是以其人之道还治其人之身。通过防御性AI，组织可以实时动态响应威胁。然而，这种方法也带来了自身的安全漏洞——保护模型免受篡改需要持续的监督和审计。根据哈佛商业评论，传统解决方案使企业容易受到人工智能网络攻击。为了实现网络安全韧性，他们必须使用机器学习技术来预测和自动响应威胁。没有简单的答案来说明防御性AI是否是解决这个问题的解决方案。公司是否应该将资源投入到部署未经验证的机器学习工具或扩大其信息技术团队？无法预测哪项投资将在长期内带来回报。大型企业可能会在自动化网络安全方面看到显著的回报，而小型企业可能难以证明成本的合理性。传统的自动化技术可能能够以更低的价格填补这一空白，但它无法应对动态威胁。信息安全论坛的CEO史蒂夫·杜宾（Steve Durbin）表示，人工智能的采用具有显著的好处，但也存在重大缺点。例如，企业经常会出现大量的假阳性警报，这浪费了安全团队的时间。此外，过度依赖人工智能可能会导致团队过度自信，从而导致安全漏洞。在AI威胁格局中导航无法确定人工智能在威胁格局中的确切范围，因为攻击者可以利用它来创建恶意代码或起草钓鱼邮件，而不是在运行时使用它。单独的网络犯罪者和国家支持的威胁团体都可能在大规模使用它。根据现有的信息，模型篡改、人工智能钓鱼和多态恶意软件将成为2026年最大的网络威胁。网络犯罪者可能会继续使用LLM来生成、传递和适应恶意有效载荷，针对高价值行业，如金融，以及普通人。

December 8, 2025

By Alex McFarland

Google 詳細介紹 Chrome 的 AI 代理功能的安全架構

Google 發布了一份詳細的安全框架，用于 Chrome 即將推出的基於 AI 的代理功能，引入了多層防禦機制，以保護用戶在 Gemini 驅動的代理執行自主瀏覽任務時的安全。Chrome 安全工程師 Nathan Parker 的公告概述了四個核心的安全支柱，將規範 AI 代理如何代表用戶與網站進行交互。這個架構解決了早期代理系統面臨的風險，包括提示注入攻擊、未經授權的數據訪問和欺詐交易。Google 的方法出現在競爭對手爭相推出基於瀏覽器的 AI 代理的時候。 OpenAI 在十月推出了 ChatGPT Atlas，具有代理模式的能力，而 Perplexity 在七月推出了其 Comet 瀏覽器。這個安全框架表明 Google...

November 25, 2025

By Alex McFarland

AWS 承诺 500 亿美元用于联邦 AI 基础设施扩张

Amazon Web Services (AWS) 已宣布投资 500 亿美元，以扩大美国政府机构的人工智能和超级计算基础设施，这是该公司自 2011 年推出 GovCloud 以来对联邦云容量的最大承诺。该多年项目将在 AWS Top Secret、AWS Secret 和 AWS GovCloud (US) 区域添加 1.3 吉瓦的计算容量，根据 Amazon 的官方公告。建设将于 2026 年开始，并将在全国范围内分配具有目的性网络和计算技术的高级数据中心，以用于分类和敏感的政府工作负载。AWS...

November 14, 2025

By Alex McFarland

人类中心暴露首次大规模网络攻击由AI自动化驱动

人类中心披露，一群黑客，他们怀疑是中国国家赞助的团体，进行了首次记录的大规模网络攻击，使用了公司的Claude Code工具来自动化80到90％的活动。攻击者针对了大约30个组织，包括主要的科技公司、金融机构、化学制造商和政府机构。虽然大多数攻击被阻止，但该活动在少数情况下成功。Claude Code在人类操作员只需要在关键决策点介入的情况下，基本上自主地执行了侦察、漏洞测试、凭证收集和数据泄露。您可以在这里阅读人类中心的完整报告。攻击方法和AI操纵黑客通过复杂的社会工程学绕过了Claude的安全防护措施。他们欺骗了AI系统，声称自己是合法的网络安全公司的员工，正在进行防御测试。攻击者还将他们的操作分解为小的、看似无害的任务，这些任务为Claude提供了有关恶意总体目的的不完整上下文。 Claude Code检查了目标组织的系统，以确定高价值数据库，执行了比人类黑客更快的侦察，并研究并编写了自定义的漏洞利用代码来测试安全漏洞。该系统收集了用户名和密码以便进一步访问网络，然后根据情报价值提取和分类私人数据。攻击者可以通过基本上点击一个按钮来执行活动，然后AI在人类团队无法实现的速度下独立运行——通常每秒发送数千个请求。检测和公司响应人类中心在2025年9月中旬检测到攻击，并立即启动了调查。在10天内，公司关闭了该团体对Claude的访问，联系了受影响的组织，并通知了执法部门。该公司自此扩大了其检测能力，并正在开发额外的方法来调查和检测大规模、分布式攻击。这一事件是在人类中心早些时候记录的滥用案例之后发生的。8月，公司的威胁情报报告详细介绍了一项使用Claude Code进行大规模盗窃的数据勒索行动，针对至少17个组织，包括医疗保健、紧急服务、政府和宗教机构。该犯罪者要求赎金超过50万美元，威胁要泄露被盗数据，而不是使用传统的勒索软件加密。人类中心的检测基础设施依赖于多层技术，包括行为分析以监视数百万API请求的使用模式，异常检测以识别与合法使用不一致的操作序列，以及模式匹配以识别已知和新颖的操纵技术。该公司使用专用分类器分析用户输入以识别潜在的有害请求，并在交付前或后评估Claude的响应。行业影响该活动涉及前所未有的AI自主网络攻击水平，并标志着网络间谍活动的转折点。AI系统能够以最小的人类监督进行复杂攻击的能力，带来了新的挑战给网络安全防御者。人类中心的披露是在AI公司面临日益增长的压力以防止其模型被恶意使用的情况下发生的。该公司维护了一个全面威胁情报和保障计划，以检测和对抗Claude的滥用，并在2025年记录了安全事件。在3月，公司确定了一个影响力即服务的运营，该运营使用Claude来自动化与多个国家和语言的数万个社交媒体账户的互动。该事件凸显了AI驱动工具日益复杂的特点和防止其滥用同时保持合法用户的实用性的挑战。人类中心已经禁止了相关账户，并继续增强其检测和缓解能力，以应对不断演变的威胁格局。

October 12, 2025

By Antoine Tardif, CEO & Founder of Unite.AI, CEO & Founder of Unite.AI

HiddenLayer 研究人员绕过 OpenAI 的防护措施，暴露 AI 自我审查的关键缺陷

2025 年 10 月 6 日，OpenAI 宣布推出 AgentKit，这是一款用于构建、部署和管理 AI 代理的工具包。其中一个组件是 Guardrails，这是一种模块化的安全层，旨在监控代理的输入、输出和工具交互，以防止滥用、数据泄露或恶意行为。Guardrails 可以屏蔽或标记个人身份信息 (PII)，检测越狱，并在代理执行时应用策略约束。虽然 Guardrails 是 OpenAI 代理架构中新公开的部分，但 HiddenLayer 的研究揭示了更深层次的漏洞：由于代理的行为和安全检查都使用类似的模型逻辑，攻击者可以制作出同时破坏两者的输入——从内部有效地破坏安全层。HiddenLayer 发现了什么OpenAI 的设计设想代理通过链式逻辑运作：用户发出请求，代理调用工具或外部资源，响应由 Guardrails 过滤或验证后执行或输出。意图是无论代理尝试做什么——无论是生成文本、获取网页还是触发函数——Guardrails 都会作为哨兵。HiddenLayer 认为，当哨兵是由相同类别的模型构建时，它在结构上是有缺陷的。在他们的实验中，他们制作了双重用途的提示：它们强制代理模型生成违反策略的内容...

October 9, 2025

By Chris Scheels, Vice President of Product Marketing, Gurucul

从警报疲劳到可行的情报：AI 如何重塑 SOC

安全运营中心（SOC）正处于崩溃的边缘。分析师倦怠长期以来一直是一个关键风险，但问题只会变得更加严重。事实上，73% 的组织最近由 Cybersecurity Insiders 和 Gurucul 进行的调查表示，他们正在遭受倦怠和持续的员工短缺。警报量正在增加，威胁正在扩散，分析师们被迫使用传统和碎片化的工具。仅凭人类无法跟上，这意味着 AI 正在迅速从一种“nice-to-have”转变为一种战略必要性。今日 SOC 的危机虽然 SOC 中的倦怠率已经被充分记录，但情况并没有改善，所以不能说够了：分析师们已经到了崩溃的边缘。他们正在应对日益恶化的挑战，包括：警报疲劳 – 不仅警报过多，而且假阳性也在增加，这使得有效响应变得困难和低效。事实上，根据上述调查，88% 的网络安全领导者表示警报量已经增加；46% 报告过去一年内警报量增加了 25% 以上。新兴和演变的威胁 – 威胁格局始终在变化，AI 正在为恶意行为者提供新的工具，使他们能够更快地发起更多威胁。凭证滥用和内部风险增加了复杂性。...

October 6, 2025

By Jake Reynolds, Director of Offensive Security Services, All Covered

当红队揭露不可想象的事时

许多组织认为自己是安全的——直到红队证明了相反的情况。在我28年的攻击性安全经验中，我亲眼见证了当现实世界的对抗性战术应用于企业防御时，信心如何迅速崩溃。红队行动不仅仅是测试系统；它们推动了从一个坚定、复杂的对手的角度来看可以实现的访问限制。通常，参与规则更广泛，允许不仅仅是服务器端攻击，还包括社会工程、无线和甚至物理技术。我们在行动中经常发现，灾难性的访问级别是可能的我的团队和我已经获得了网络立足点，并升级了权限以访问甚至控制商业高炉、驱动程序代码签名基础设施、工资系统、敏感的知识产权、银行主机系统、闭路电视系统、首席财务官的收件箱、MRI/X光机结果、文件共享、个人健康信息、可数的有趣文件、首席执行官的第二套房子通过VPN链接到企业网络，以及许多Active Directory森林的完整哈希转储。我们已经从云资源的泄露转移到现场网络，并且我们已经从现场网络转移到云基础的立足点。有时，目标越大，越容易，无论其信息安全预算的规模如何。这是由于攻击者和防御者之间的自然不对称性。规模越大，意外暴露的弱点就越多。这些不是理论风险。它们是真实的，更多的组织容易受到这种程度的损害。立足点外部泄露始于一个立足点——一个最初的访问点，它打开了更深入的泄露的大门。在我们的工作中，我们将立足点分为四种主要类型：1. 社会工程虽然很常见，但我们认为这是最不有价值的。欺骗用户点击链接或泄露凭证是有效的，但这并不反映出复杂对手的技能。尽管如此，我们已经看到攻击者冒充首席财务官的电子邮件来启动“紧急”电汇或使用人工智能生成的语音克隆来绕过帮助台协议。2. 密码喷洒这种低调和缓慢的技术仍然是最有效的。通过猜测常见的密码在大量的用户列表中，攻击者避免了锁定并经常成功。我们已经使用“Summer2025！”在数千个用户名中泄露了网络，这些用户名是从公共来源中收集的。除非有禁止使用的单词强制执行，否则我猜测超过1/1000的企业用户会选择它，例如“summer”和“2025”和“25”。对于更长的密码策略，我猜测“Summertime2025！”是一个例子。3. MFA弱点多因素身份验证是必不可少的——但不是万无一失的。就像所有的安全控制一样，彻底和一致的部署是关键。我们已经使用推送疲劳、条件访问漏洞和过时的注册链接绕过了MFA。在一个案例中，我们使用六个月前在一个泄露的收件箱中找到的链接注册了自己的设备。4. 可利用的漏洞自定义的Web应用程序尤其容易受到攻击。我们已经利用了从SQL注入到路径遍历、对象反序列化漏洞到逻辑缺陷，允许基本用户在结账时设置自己的价格或升级到管理员访问。过时的商业软件组件甚至可能导致远程代码执行，如果不修补的话。现实检查：合规性与暴露安全审计通常描绘出一幅美好的图景。但是红队行动在剧本之外。红队行动的参与规则通常比标准的渗透测试更广泛——我们模拟具有明确目标的对手。在许多参与中，客户可能拥有来自多个公司的许多过去的渗透测试报告，但几乎没有“渗透”的证明。这并不罕见，我们通过从基本的无身份验证的外部渗透测试中获得显著的访问水平来纠正这种看法。感知到的和实际的风险之间的差距可能是巨大的。质量、覆盖面、渗透测试对于安全态势不够成熟的组织来说比基于目标的红队行动更有价值。人工智能在攻击性安全中的作用虽然人工智能还没有在红队中取代人类的创造力，但它正在加速我们的工作流程。我们使用生成式人工智能来更快地构建概念验证漏洞，分析攻击面，模拟语音在语音钓鱼行动中，并甚至制作看似真实的钓鱼活动。代理攻击性人工智能在公共漏洞赏金名单中获得最高排名是即将到来的标志。对防御者的同情尽管我们扮演着攻击者的角色，但我们深深地尊重防御者。这种不对称性是真实的：防御者必须24/7完美；攻击者只需要一个错误。因此，我们的报告不仅仅突出了漏洞、杀伤链、截图和现实世界的影响；在我们的执行摘要的顶部，我们遇到了在测试期间遇到的积极的做法。我们喜欢写这些比发现更重要。我们是您的团队，目的是为了教育和修复，而不是暴露。结论：不可想象的事通常就在眼前红队不仅仅是发现缺陷——它们迫使组织面对令人不舒服的真相。安全的外表往往隐藏了脆弱的系统、错误的配置和被忽视的风险。当我们揭露不可想象的事时，这不是为了批评——这是为了加强。因为在网络安全中，现实检查不是可选的。它们是唯一站在“纸面上安全”和头版新闻泄露之间的东西。

AI vs AI: When Cybersecurity Becomes an Algorithmic Arms Race

October 6, 2025

By Dr. Assad Abbas

AI 对抗 AI：当网络安全成为算法军备竞赛

网络安全已进入一个新时代。在过去，攻击者和防御者依赖于人类技能和标准工具，例如防火墙和入侵检测系统。今天，情况看起来非常不同。人工智能 (AI) 现在在双方都发挥着重要作用。攻击者使用 AI 网络安全工具来发起更快、更先进的威胁。防御者依靠 AI 驱动的系统来实时检测和阻止这些攻击。这种竞争通常被称为算法军备竞赛。每一个基于 AI 的攻击都会促使防御者增强他们的保护；同样，每一个新的防御策略都会迫使攻击者想出创新策略。因此，双方都在快速进步。这些遭遇发生在人类能力之外的速度。同时，对于企业、政府和个人来说，风险也大大增加。因此，了解这种 AI 对抗 AI 的竞争对于任何关心数字安全的人来说都是必要的。从防火墙到自动化战争网络安全最初依赖于静态防御。防火墙通过固定的规则管理数据流。反病毒软件用于扫描文件以检测已知威胁。这些方法在攻击是可预测和简单的时候有效。然而，威胁变得更加有组织和复杂。攻击者发起了大规模的钓鱼活动、勒索软件攻击和有针对性的入侵。因此，静态防御无法跟上这些攻击的速度和多样性。因此，防御者开始利用机器学习来增强他们的保护。然而，AI 引入了对安全性的不同方法。与其等待已知的签名，算法研究了正常活动并标记了异常行为。因此，防御者可以实时跨网络和用户系统检测威胁。这使得保护更快、更适应性。攻击者也转向了 AI。生成模型帮助他们创建令人信服的钓鱼邮件、假声音和伪造视频。同样，恶意软件变得适应性强，可以改变其形式以避免检测。到 2023 年，这样的 AI 驱动方法已经成为主要的网络犯罪行动的一部分。这种发展改变了网络安全的性质。它不再是静态工具对抗攻击者的问题。相反，它成为了一场直接的算法竞赛，双方继续以机器速度适应。AI 在网络安全中的进攻应用虽然防御者利用 AI...