（來源：MIT Technology Review）

當(dāng)前人工智能領(lǐng)域最熱門的話題莫過于AI 智能體，這些具備自主決策能力的 AI 不僅能理解自然語言指令，更能像人類助理一樣完成復(fù)雜任務(wù)，從協(xié)調(diào)多部門會議、自動比價網(wǎng)購，到直接接管用戶電腦修改系統(tǒng)設(shè)置。

正如一枚硬幣有正反兩面，AI 智能體強大的自主性或許將重塑網(wǎng)絡(luò)安全格局。

這些讓 AI 智能體變身“超級助理”的能力就像一把雙刃劍，同樣也會使其化身網(wǎng)絡(luò)罪犯的“得力助手”，變成實施網(wǎng)絡(luò)攻擊的利器。

它們可以像人類黑客一樣掃描和鎖定系統(tǒng)漏洞、劫持目標設(shè)備，還能通過自然語言交互騙取用戶信任，悄無聲息地竊取敏感數(shù)據(jù)。更可怕的是，AI 智能體可以同時攻擊成千上萬個目標，且能 24 小時不間斷工作。

雖然目前網(wǎng)絡(luò)罪犯尚未大規(guī)模使用 AI 智能體發(fā)動攻擊，但是其攻擊潛力已經(jīng)在實驗室中得到驗證。比如，Anthropic 公司的研究人員在封閉測試中發(fā)現(xiàn) Claude 模型能夠成功復(fù)現(xiàn)竊密攻擊。

網(wǎng)絡(luò)安全專家警告，這類來自 AI 智能體的網(wǎng)絡(luò)攻擊可能很快就會從實驗室進入現(xiàn)實世界，現(xiàn)階段正處于網(wǎng)絡(luò)攻防的歷史轉(zhuǎn)折點，傳統(tǒng)的網(wǎng)絡(luò)攻擊可能需要數(shù)天或數(shù)周的策劃，而 AI 智能體能在你喝杯咖啡的時間就完成了攻擊部署。

“我們終將面對一個由 AI 智能體主導(dǎo)網(wǎng)絡(luò)攻擊的時代，而問題只在于何時來臨。”網(wǎng)絡(luò)安全公司 Malwarebytes 的技術(shù)專家 Mark Stockley 直言。

盡管我們已經(jīng)了解 AI 智能體對網(wǎng)絡(luò)安全的威脅，但如何在實際攻擊中識別檢測它們?nèi)匀皇莻€難題。

現(xiàn)有的防御體系在面對 AI 智能體帶來的新型威脅時顯得有些力不從心，畢竟這些“數(shù)字黑客”既不像傳統(tǒng)病毒有固定特征碼可識別，也不像人類黑客會留下行為模式。

構(gòu)建誘敵深入的“蜜罐系統(tǒng)”

為了應(yīng)對這一新興威脅，人工智能研究機構(gòu) Palisade Research 開發(fā)了一種名為“大語言模型智能體蜜罐”的防御系統(tǒng)。

顧名思義，這套“蜜罐系統(tǒng)”構(gòu)建了一批偽裝成政府或軍事機密網(wǎng)站的服務(wù)器，這些服務(wù)器看似存儲著重要數(shù)據(jù)，實則暗藏各種精心設(shè)計的漏洞陷阱，專門用來引誘和捕獲前來攻擊的 AI 智能體。

研發(fā)團隊希望通過實時監(jiān)測這些 AI 智能體的攻擊行為，在它們威脅演變成大規(guī)模網(wǎng)絡(luò)安全危機之前建立起有效的早期預(yù)警機制，同時為開發(fā)防御方案提供有效數(shù)據(jù)。

“我們的目標是將人們對 AI 威脅的理論擔(dān)憂轉(zhuǎn)化為實際驗證。”Palisade Research 的研究主管 Dmitrii Volkov 表示，“當(dāng)‘蜜罐系統(tǒng)’監(jiān)測到 AI 智能體攻擊數(shù)量出現(xiàn)激增時，就意味著網(wǎng)絡(luò)安全格局已經(jīng)發(fā)生了根本性改變。”

“預(yù)計在未來 3-5 年內(nèi)，我們將進入一個全新的網(wǎng)絡(luò)安全時代。黑客甚至不需要親自編寫攻擊代碼，只需對 AI 智能體下達簡單的自然語言指令，比如‘這是你的目標網(wǎng)站，想辦法破解它’，剩下的工作 AI 就能自動完成。”他補充說。

對網(wǎng)絡(luò)罪犯而言，AI 智能體在成本、速度和覆蓋范圍方面比人類黑客更具優(yōu)勢。

首先，相比雇傭黑客團隊動輒可能數(shù)萬美元的成本，使用 AI 智能體可能只需要支付數(shù)十美元的 API 調(diào)用費用；其次，AI 智能體可以在毫秒級別內(nèi)完成目標掃描和漏洞分析，攻擊速度遠超人類黑客。更重要的是，一個 AI 智能體可以同時對數(shù)以萬計的目標發(fā)起攻擊，這種覆蓋范圍是人類黑客團隊難以企及的。

Mark Stockley 表示，此前最暴利的勒索軟件攻擊因需專業(yè)黑客操作而變得越來越少見，但未來這類操作可能會交由 AI 智能體代勞。“如果把目標篩選工作能給到 AI 智能體去做，勒索軟件攻擊就能實現(xiàn)目前難以想象的規(guī)模化復(fù)制。黑客只需要成功開發(fā)出一個有效的攻擊模式，AI 智能體就能自動將其復(fù)制應(yīng)用到成千上萬個目標上，且無需投入大量資金。”他說道。

除此之外，與傳統(tǒng)入侵系統(tǒng)的機器人相比，AI 智能體的優(yōu)勢更為明顯。Dmitrii Volkov 解釋道，“普通的網(wǎng)絡(luò)攻擊機器人就像按劇本演戲的演員，只能機械地執(zhí)行預(yù)設(shè)的攻擊腳本，一旦遇到系統(tǒng)升級、網(wǎng)站改版等意外情況，它們可能就會完全失效。”

“相較之下，AI 智能體不僅能動態(tài)調(diào)整攻擊策略，也具備反偵察能力，還能持續(xù)學(xué)習(xí)、進化，這讓防御工作變得異常困難。”他說道，“它們能自主分析目標并找到最佳的滲透策略，像專業(yè)黑客一樣評估各種攻擊路徑，選擇最有效的入侵方式。”比如，通過改變攻擊節(jié)奏、偽裝成正常人類用戶訪問，甚至學(xué)習(xí)安全系統(tǒng)響應(yīng)模式來優(yōu)化攻擊方式等來主動規(guī)避安全檢測。“這種動態(tài)決策能力和環(huán)境適應(yīng)能力，是那些呆板的腳本機器人永遠無法實現(xiàn)的。”

自從 2024 年 10 月投入運行以來，這套蜜罐系統(tǒng)已經(jīng)記錄超1,100 萬次訪問請求，經(jīng)過分析發(fā)現(xiàn)其中絕大多數(shù)是來自人類和普通機器人。但令人警惕的是，系統(tǒng)通過行為模式分析最終甄別出8 個具有明顯 AI 智能體特征的異常訪問者。

“從行為模式分析來看，這些 AI 智能體很可能是某些組織或個人在進行技術(shù)測試，而它們接到的指令可能類似‘在互聯(lián)網(wǎng)上尋找有價值的目標并嘗試滲透’這樣的開放式任務(wù)。”Dmitrii Volkov 推測說。

為了更全面地監(jiān)測 AI 威脅，研究團隊正在計劃將蜜罐系統(tǒng)的覆蓋范圍擴展到社交媒體平臺、網(wǎng)站和數(shù)據(jù)庫等多個領(lǐng)域，來捕獲包括垃圾郵件機器人、釣魚智能體在內(nèi)的更多新型攻擊樣本，為構(gòu)建未來的 AI 威脅預(yù)警研判系統(tǒng)積累更多數(shù)據(jù)。

為精準識別訪問漏洞服務(wù)器的 AI 智能體，研究團隊在蜜罐系統(tǒng)中采用了“提示詞注入”技術(shù)，系統(tǒng)會向訪問者發(fā)送需要高級認知能力才能理解的指令和開放式問題。

比如，要求訪問者輸入特定指令“cat8193”來獲取訪問權(quán)限，或者回答一些需要語義理解的問題。普通腳本機器人對這種智能測試毫無反應(yīng)，而 AI 智能體則會展現(xiàn)出類人的交互能力。

通過分析響應(yīng)數(shù)據(jù)，研究人員發(fā)現(xiàn)了一個關(guān)鍵特征，AI 智能體平均不到 1.5 秒就能正確響應(yīng)測試指令，這個速度超過人類操作者（人類通常需要數(shù)秒的時間閱讀提示并手動輸入）。

在檢測到的 8 個疑似 AI 智能體中，有 2 個快速通過驗證，其余 6 個雖然最終輸入了正確指令，但響應(yīng)時間稍長，意味著可能并非純粹的 AI 智能體。

提前預(yù)防比事后補救更重要

關(guān)于 AI 智能體攻擊何時會大規(guī)模爆發(fā)，網(wǎng)絡(luò)安全專家們?nèi)源嬖诓煌捶ā?/p>

比如，Malwarebytes 公司在《2025 惡意軟件報告》中將 AI 智能體列為新型網(wǎng)絡(luò)威脅。該公司的安全技術(shù)專家 Mark Stockley 預(yù)測：“最快在今年我們就將迎來首個由 AI 智能體主導(dǎo)的大規(guī)模網(wǎng)絡(luò)攻擊浪潮，屆時傳統(tǒng)的安全防御體系可能面臨前所未有的挑戰(zhàn)。”

安全公司 Trend Micro 的高級研究員 Vincenzo Ciancaglini 認為，“雖然目前 AI 智能體技術(shù)還處于起步階段，針對其惡意用途的開發(fā)也才剛剛開始，但現(xiàn)在的局面就像兩年前大語言模型領(lǐng)域的‘西部拓荒期’一樣混亂無序。”

他對 Palisade Research 的研究創(chuàng)新性給予高度評價，“這相當(dāng)于反過來‘黑入’那些試圖攻擊你的 AI 智能體，就像在數(shù)字世界設(shè)置了一個‘鏡面迷宮’，讓攻擊者暴露自己。目前觀察到的還只是智能體進行偵查試探，但關(guān)鍵問題是距離它們能夠自主完成從偵查、滲透到數(shù)據(jù)竊取的完整攻擊鏈還有多遠？這正是整個安全行業(yè)需要密切關(guān)注的危險信號。”

Vincenzo Ciancaglini 進一步分析道，“隨著 AI 智能體系統(tǒng)日趨成熟，惡意攻擊者很可能會采取‘三步走’策略：第一階段主要用于情報收集和目標篩選；第二階段升級為簡單的自動化攻擊；最終會演變成能夠自主決策的復(fù)雜攻擊。”

他還警告說，“然而 AI 技術(shù)的發(fā)展往往出人意料，智能體網(wǎng)絡(luò)犯罪活動也可能會在一夜之間突然爆發(fā)，這種不可預(yù)測性正是當(dāng)前 AI 安全領(lǐng)域最令人不安的特征之一。”

對此，Amazon Web Services 首席信息安全官 Chris Betz 則持有相對保守的看法，他認為，“現(xiàn)階段 AI 的作用主要是放大現(xiàn)有攻擊手段的威力，而非創(chuàng)造全新攻擊模式。雖然某些攻擊會變得更易實施且更頻繁，但檢測和應(yīng)對的基本原則并未改變。”按他的意思，現(xiàn)有的安全體系經(jīng)過適當(dāng)升級仍然能夠有效應(yīng)對這些威脅。

瑞士蘇黎世聯(lián)邦理工學(xué)院的博士生 Edoardo Debenedetti 提出了一個頗具前瞻性的防御理念：“以 AI 制 AI”。

“這個思路的核心在于，如果我們能訓(xùn)練出足夠強大的‘防御型 AI 智能體’，它們都找不到系統(tǒng)漏洞，那么同級別的‘攻擊型 AI 智能體’大概率也會束手無策。這就好比在數(shù)字世界建立了一道由 AI 守衛(wèi)的智能防火墻。”他解釋道。

如今業(yè)界已經(jīng)意識到 AI 自主進行網(wǎng)絡(luò)攻擊的潛在風(fēng)險正在與日俱增，而且已有證據(jù)表明 AI 智能體正在大規(guī)模掃描互聯(lián)網(wǎng)，當(dāng)前最迫切的研究課題之一，是系統(tǒng)評估這些 AI 智能體在實際環(huán)境中查找和利用漏洞的真實能力。

所謂“知己知彼百戰(zhàn)不殆”，先需要先了解敵人的武器裝備，才能制定有效的防御策略。為了科學(xué)量化 AI 智能體攻擊的實際威脅水平，伊利諾伊大學(xué)厄巴納-香檳分校助理教授 Daniel Kang 和團隊開發(fā)了一套全新的評估基準系統(tǒng)。

他們研究發(fā)現(xiàn)，當(dāng)前 AI 智能體在沒有任何先驗知識的情況下，成功發(fā)現(xiàn)并利用了13%的漏洞；而當(dāng)研究人員為智能體提供漏洞的簡要描述后，攻擊成功率更是躍升至25%

這些數(shù)據(jù)表明，即使沒有經(jīng)過專門的訓(xùn)練 AI 也具備識別和利用系統(tǒng)漏洞的人能力，相比之下，傳統(tǒng)的自動化攻擊工具在這些測試中的表現(xiàn)要遜色得多。

“這個基準測試的重要意義在于，它為 AI 安全風(fēng)險評估提供了一種標準化工具。”Daniel Kang 表示。就像汽車碰撞測試評級一樣，可以用這個工具來評估不同 AI 的安全風(fēng)險等級。他還希望通過這個工具，能夠指導(dǎo)開發(fā)者構(gòu)建更安全的 AI 系統(tǒng)，從源頭上降低被惡意利用的風(fēng)險。

“在 AI 和網(wǎng)絡(luò)安全問題上，我們必須要有前瞻性思維。在這一領(lǐng)域迎來‘ChatGPT 時刻’（即 AI 攻擊突然大規(guī)模爆發(fā)時）之前就要未雨綢繆，而不是等到災(zāi)難降臨才后知后覺。網(wǎng)絡(luò)安全領(lǐng)域的教訓(xùn)告訴我們，預(yù)防永遠比補救更重要。”他總結(jié)道。

1.https://www.technologyreview.com/2025/04/04/1114228/cyberattacks-by-ai-agents-are-coming/

2.https://www.threatdown.com/blog/threatdown-state-of-malware-report-2025/