aidigest.club
选择日期
2026 年 6 月 · 17 期
2026-06-17 周三 2026-06-16 周二 2026-06-15 周一 2026-06-14 周日 2026-06-13 周六 2026-06-12 周五 2026-06-11 周四 2026-06-10 周三 2026-06-09 周二 2026-06-08 周一 2026-06-07 周日 2026-06-06 周六 2026-06-05 周五 2026-06-04 周四 2026-06-03 周三 2026-06-02 周二 2026-06-01 周一
查看完整归档 →
最新 归档 GitHub 热门 X LMArena 精读 学习 关于
← 返回精读 DEEP READ

Anthropic LLM ATT&CK Navigator:832 个恶意账号揭示 AI 正把网络攻击推向 Agentic 编排

Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator

Kyla Guru, Alex Moix, and Jacob Klein Anthropic Frontier Red Team / Threat Intelligence 研究作者;本文基于 Anthropic 对 2025-2026 年真实 AI-enabled cyber misuse 的调查,并与 Verizon DBIR 部分分析联动 · 发布于 2026-06-03 · 收录于 2026-06-07
🔗 阅读英文原文
🎧 AUDIO 听一段语音版日报
0:0024:02

📌 一句话核心

Anthropic 分析 832 个被封禁恶意账号,把 13,873 次 AI 辅助网络攻击行为映射到 MITRE ATT&CK:AI 风险正在从写恶意脚本转向横向移动、凭据窃取和自主编排,传统按技术水平评估攻击者的方法开始失效。

💡 核心观点

  1. 研究对象不是实验室推演,而是真实滥用数据:Anthropic 选取 2025 年 3 月至 2026 年 3 月间因违反 cyber 相关使用政策被封禁的 832 个账号,基于威胁情报团队调查摘要,抽取 TTPs 并映射到 MITRE ATT&CK v18。全样本覆盖 13,873 次观察、482 个唯一 sub-techniques、全部 14 个 ATT&CK tactics。
  2. AI-enabled cyber risk 在一年内明显上移:Anthropic 用自定义 ARiES(AI Risk Enablement Score)给账号打 0-100 风险分。medium 或 higher risk 的账号比例从研究窗口前半段的约 33.5% 上升到后半段的约 56.1%,不到一年增长约 1.7 倍。增长集中在 lateral movement、credential dumping、web shell 等更接近 post-compromise hands-on-keyboard 的活动。
  3. 最常见的滥用仍是能力开发和规避检测:69% 的账号使用 AI 做 T1587 Develop Capabilities,其中 560 个账号涉及 malware development;64.7% 使用 T1027 Obfuscated Files or Information;55.9% 涉及 T1005 Data from Local System;54.9% 涉及 T1562 Impair Defenses。这说明多数攻击者仍主要把 LLM 用作 pre-engagement offensive tooling 工厂。
  4. 真正高风险的分水岭不是技术水平,而是进入 live operations:只有 54/832 个账号(6.5%)使用 AI 做 lateral movement,但这类账号平均 ARiES 风险分比非 lateral movement 账号高 10.5 分。最高风险群体更常使用 remote services、valid accounts、OS credential dumping、archive collected data 和 web shell 等 post-compromise 技术。
  5. 传统 threat actor 画像指标正在失灵:技术成熟度、接口选择、使用技术数量都不是强预测变量。技术成熟度与其余风险组件相关性只有 r=0.28;technique breadth 与风险分相关性也只有 r=0.27;80% 的样本滥用 Claude Code,使 agentic tooling 成为默认访问模式而非区分因素。真正区分高风险者的是请求模型参与哪些 hands-on 技术。
  6. Agentic scaffolding 是全文最关键的新风险变量:Anthropic 认为当更多攻击者都会请求类似 ATT&CK technique 时,风险差异会转移到 scaffolding——围绕模型搭建的代码、架构、工具链和自动化编排。GTG-1002 间谍活动风险分达到 100,不是因为 technique 数量特别多,而是因为攻击者把 Claude Code、Kali、MCP 工具和开源渗透工具组合成近似 autonomous attack platform。
  7. MITRE ATT&CK 需要扩展到 AI-native 行为:当前框架能记录单个 technique,却无法给 autonomous killchain orchestration、real-time pivot decisions、AI-directed execution with no human intervention 等行为编号。Anthropic 正与 MITRE 讨论新增跨切面类别,以捕捉 agentic、自主、决策型行为如何把多个技术链成完整攻击。
  8. 防御侧也必须升级为 AI-enabled:Anthropic 已据此更新 Claude classifiers 和 probes,部署 real-time cyber safeguards,并把更高风险 dual-use activity 路由到 Cyber Verification Program。同时通过 Project Glasswing 在开放前研究 frontier model offensive cyber capability。企业侧启示是:防御必须同样使用 AI、加速漏洞修复、缩短从发现到 patch 的周期。
  9. 文章的乐观结论是有条件的:Anthropic 认为如果产业、政府和 civil society 以足够紧迫感行动,强 AI 最终可能更有利于 defenders——在新代码上线前发现 bug、让关键系统更安全、减少欺诈和滥用。但这个结论依赖于安全框架、威胁情报共享、检测体系和补丁能力同步演进。

🎯 启示与思考

## 1. 这篇文章真正重要的不是“AI 能帮黑客写代码”,而是安全风险的单位变了 过去两年企业谈 AI 安全,最容易停留在两个层面:一是模型会不会回答恶意问题,二是员工会不会把敏感数据贴进模型。Anthropic 这篇把问题推进了一层:AI-enabled cyber risk 的基本单位正在从单次问答、单段恶意代码,变成一个由模型、工具、权限、shell、MCP server、扫描器和 C2 组件构成的 operational loop。 这对企业安全治理很关键。传统控制点多半围绕“内容”设计:识别 prompt 是否危险、输出是否包含恶意代码、用户是否访问了敏感数据。但 agentic attack 的风险不只在内容,而在连续动作:侦察、判断、调用工具、读取结果、调整策略、再调用工具。风险从 static content moderation 迁移到 workflow governance。换句话说,企业不能只问“模型说了什么”,还要问“模型被允许做什么、连续做了几步、是否跨越了权限边界、是否形成了自主闭环”。 ## 2. ARiES 的启发:企业需要自己的 AI Risk Enablement Score Anthropic 的 ARiES 不是为了预测一次攻击是否成功,而是为了回答“哪些 AI-involved 行为最值得 defenders 关注”。这对企业内部 AI 治理很有借鉴意义。很多公司现在的 AI 风险评级仍是静态资产视角:某应用是否接触 PII、是否接入外部模型、是否面向客户。但 agentic 系统的风险更像 Anthropic 的三维加总:意图/使用者画像、模型对行为的 enablement 程度、潜在业务影响。 企业完全可以建立一个内部版 ARiES:对每个 Copilot Studio agent、Azure AI agent、RPA+LLM 工作流或开发者自动化脚本打分。高分不一定意味着已经违规,而意味着需要更强审计、审批、隔离和回滚。比如:一个能读取客户数据、调用 ticketing API、自动改配置的 agent,即使当前 prompt 很 benign,也应比只总结公开文档的 agent 高几个风险等级。 ## 3. “技术水平”不再是可靠风险代理,组织控制点要从人迁移到系统 文中最有冲击力的数据之一是:技术成熟度、technique 数量、接口选择都不是强预测变量。低技能攻击者也可能借助 AI 和 scaffolding 做出高危操作。这意味着企业内部治理不能继续依赖“只有专家才有危险能力”的旧假设。 在大企业里,这个逻辑同样成立。过去把生产权限、脚本执行、云资源操作交给少数专家,是一种隐含风险控制;但当普通员工可以用 AI 快速生成脚本、让 agent 操作 SaaS、拼接 API 工作流时,能力边界被重新分配。真正的控制点必须前移到系统层:least privilege、tool allowlist、环境隔离、action approval、session replay、policy-as-code。能力民主化如果没有控制民主化,会直接扩大攻击面。 ## 4. 对 Microsoft / Accenture 生态:这是一个把 Copilot 安全从“合规配置”升级到“agentic operating model”的机会 这篇文章可以成为面向 CISO/CIO 的强叙事素材。客户现在买 Copilot、GitHub Copilot、Copilot Studio 或 Azure AI Foundry,经常把安全讨论压缩成数据边界、DLP、日志和权限。但 Anthropic 的数据说明:未来最关键的问题不是某个模型是否安全,而是 agentic tooling 是否能被安全编排。 这正好对应咨询和集成服务的机会: 1. **Agentic Security Architecture**:为企业定义哪些 agent 可以调用哪些工具、在哪个网络区、带什么身份、每个 action 是否需要审批。 2. **AI-enabled SOC / Threat Intel**:用 AI 自动聚合日志、ATT&CK mapping、异常行为解释,同时建立人类 analyst 的验证机制。 3. **Secure SDLC for agents**:把 agent 当软件系统而不是 prompt,对其做 threat modeling、红队测试、权限评审、运行时监控和 kill switch。 4. **ATT&CK + AI taxonomy 落地**:帮客户把内部事件分类从传统 ATT&CK 扩展到 agentic orchestration、tool-augmented operation、AI-directed pivot 等新标签。 ## 5. 对客户高管的最终判断:AI 安全竞争会变成“修复速度”和“可观测性”竞争 Anthropic 最后的判断是,如果各方足够认真,AI 可能长期更利于 defenders,因为它能帮助提前发现 bug、减少欺诈和滥用。但这不是自动发生的。攻击者会先吃到自动化红利,因为他们不需要合规、不需要审批、不怕误报;防御者如果仍用传统流程排队修漏洞,就会被更快的攻击节奏压垮。 所以企业 AI 安全的核心 KPI 应该从“有没有使用 AI”变成“AI 让我们从发现到修复快了多少”。这对云和基础设施团队尤其重要:漏洞扫描、配置漂移、身份权限、日志 triage、补丁验证、代码 review 都应该进入 agentic workflow,但每一步都必须可追踪、可暂停、可回滚。能做到这一点的企业,会把 AI 变成防御复利;做不到的企业,会把 AI 变成攻击者的杠杆。

📜 中文解读

一、文章背景:把真实 AI 滥用映射到 MITRE ATT&CK

Anthropic 在过去一年持续调查 threat actors 如何把 AI 用于网络攻击。这篇文章发布了一项新分析:把真实世界中的 AI-enabled cyber attacks 映射到 MITRE ATT&CK framework。MITRE ATT&CK 是网络安全行业常用的攻击者 tactics、techniques 与 procedures 数据库。

Anthropic 表示,这项映射揭示了一些挑战传统安全假设的模式。过去安全团队常用攻击者技术水平、技术覆盖广度等指标评估风险;但 AI 正在改变这些指标的有效性。Anthropic 也与 Verizon 合作,把部分结果纳入 2026 Verizon Data Breach Investigation Report,并在本文中给出更长形式的分析。

二、样本:832 个恶意账号,13,873 次行为,482 个 sub-techniques

本研究分析了 2025 年 3 月至 2026 年 3 月一年间与恶意网络活动相关的 832 个账号。这些账号因违反 Anthropic Usage Policy 被封禁。它们只是 Anthropic 调查并封禁账号中的一个子集;选择这些账号,是因为 Anthropic 对其恶意活动有足够细节,可以把技术映射到 MITRE ATT&CK。

这 832 个账号使用 AI 覆盖了 ATT&CK framework 中全部 14 个 tactics 和 482 个唯一 sub-techniques,从初始侦察一直到最终 impact。Anthropic 总共观察到 13,873 次恶意活动。

Anthropic 还设计了一个风险评分框架 ARiES(AI Risk Enablement Score),用于衡量 AI 对攻击者 planning 和 execution 的帮助程度。最醒目的结果是:被标为 medium risk 或更高风险的 actors 比例,从研究期前半段的 33% 左右上升到后半段的 56% 左右。这说明 AI 正帮助攻击者更容易执行复杂网络行动。

三、三个关键发现

第一,使用 AI 做网络行动的 actors 数量在增长,而且行为风险更高。medium/high risk actor 比例不到一年增长约 1.7 倍。增长集中在 lateral movement、credential dumping、web shells 等危害更大的活动,而不是普通 build-and-obfuscate 工作。传统上,只有技术最成熟的攻击者才能覆盖完整 killchain;Anthropic 发现这一点正在变化。

第二,agentic scaffolding 会让网络攻击变得更自主。随着 AI-enabled cyber techniques 在攻击者群体中普及,仅看他们向模型请求什么,越来越难区分风险水平。真正的差异会来自模型周围的 scaffolding:攻击者围绕模型搭建的代码、架构和工具链,使模型能把多个攻击阶段自主串起来。

第三,MITRE ATT&CK 还没有覆盖让这些 actors 变危险的 autonomous actions。自主 killchain 编排、实时 pivot 决策、无人类介入的 AI-directed execution,目前都没有 ATT&CK ID。Anthropic 的 13,873 条 observations 都能映射到现有框架,但区分最高风险 actors 的行为本身还缺少标准 taxonomy。

四、ARiES:AI Risk Enablement Score 如何构成

Anthropic 开发了 LLM ATT&CK Navigator,用于把观察到的 AI-enabled misuse patterns 映射到 MITRE ATT&CK,并为 actor 分配 ARiES 风险分。ARiES 是一个综合分数,来自三类信号:actor 的 threat profile、模型对请求伤害的贡献、以及观察到或潜在的 impact。

具体包括三部分:Threat 0-35 分,评估意图清晰度、技术成熟度、威胁情报信号和规避检测的 tactics;Vulnerability 0-35 分,评估模型 enable harm 的能力和接口风险,API 与 Claude Code 这类 agentic coding tools 因自动化潜力得分较高;Impact 0-30 分,捕捉真实世界影响,包括安全分类器分数和调查员对 AI 参与后果的判断。

Anthropic 特意采用加法而非传统 Threat × Vulnerability × Impact 乘法。原因是它想回答“哪些 AI-involved actors 和 techniques 最值得 defenders 关注”,而不是预测攻击是否一定成功。加法能保留每一维信号:即使没有明确 intent,模型也可能给潜在攻击提供实质能力;即使还没有受害者,恶意 actor 用 AI 成功开发有害软件也值得早期检测。

五、今天的攻击者如何使用 AI

最常见的 technique family 是 T1587 Develop Capabilities,被 574/832 个 actors 使用,占 69%。其中主要表现为 T1587.001 Malware Development,被 560 个 actors 使用。实践中,攻击者让模型构建和改进自定义脚本、写 DLL injection 代码、实现 canvas fingerprinting evasion 和自动化账号管理。

其他高频 technique 包括 T1027 Obfuscated Files or Information(64.7%)、T1005 Data from Local System(55.9%)和 T1562 Impair Defenses(54.9%)。这些说明,多数攻击者今天仍主要把 LLM 用于攻击前准备:构建 offensive tooling、让工具更难检测、从受害系统收集数据。

相反,攻击者较少在进入目标网络后让 LLM 做实时 adaptive decision-making。例如只有 54/832 个 actors(6.5%)用模型做 lateral movement,少于 12 个 actors 用模型处理 RDP、SSH、SMB 等 remote services。只有 22.5% 的 actors 在 privilege escalation 和 impact 阶段使用 LLM。

六、高风险 actors 的真正特征:post-compromise hands-on-keyboard

虽然 lateral movement 这类 tactics 在样本中不常见,但它们与最高 ARiES 风险分高度相关。使用 AI 做 lateral movement 的 actors,平均风险分比不这样做的 actors 高 10.5 分。这说明,从用 AI 准备攻击,转向用 AI 在真实网络操作中采取行动,是高 AI enablement 的关键标志。

最高风险 actors 最重度使用 AI 的地方,是 post-compromise、hands-on-keyboard techniques:remote services、credential dumping、web shell deployment、internal network and account discovery。具体 technique 层面,T1021 Remote Services、T1078.003 Valid Accounts、T1003 OS Credential Dumping、T1560 Archive Collected Data 和 T1505.003 Web Shell,在最高风险 actors 中出现频率是整体群体的三到五倍。

Anthropic 还发现,传统 threat intelligence 常用的属性——技术水平、接口选择、技术数量——对 AI 带来的 uplift 预测力很弱。技术成熟度与其他风险组件相关性只有 r=0.28;technique breadth 与风险分相关性也只有 r=0.27。80% 的样本滥用 Claude Code,使 agentic tooling 成为默认访问方式,而不是高风险 actors 的专属特征。

七、live exploitation actors 正在增多

研究期后半段,medium-risk 或更高风险 actors 比例从约 33.5% 上升到约 56.1%。Anthropic 承认,改进后的威胁检测技术可能贡献了一部分增长;但同时也观察到,越来越多 actors 要求模型做更 operational、in-network 的工作,而这些过去通常只出现在更少数高风险 actors 身上。

例如,第二个六个月期间,T1087 Account Discovery 出现次数增加 8.9%,T1020 Automated Exfiltration 增加 6.2%。这些 technique 意味着 actor 已经进入网络。Anthropic 的结论是:AI-enabled actors 不仅数量在增长,也在向更高风险活动漂移,而不要求 actor 自身技术水平同步提升。

八、GTG-1002:为什么 technique count 无法解释最高风险

Anthropic 特别分析了 2025 年 11 月披露的 AI-enabled cyber espionage campaign actor GTG-1002。该 actor 风险分达到 100,成功入侵多国政府与关键基础设施目标,并开发 scaffolding,把 Claude Code 当成 autonomous operator 使用,而不是普通代码助手。

有意思的是,GTG-1002 的 MITRE profile——30 个 techniques、13 个 tactics——和一些 medium-risk actors 差不多。许多低风险 actors 也超过 30 个 techniques。因此,technique count 不能解释它为什么成为 Anthropic 观察到的最高风险 actor。

真正差异在 agentic components。GTG-1002 在 Kali Linux 上运行 Claude Code,把开源渗透测试工具作为 MCP servers 集成,几乎把 AI 变成 autonomous attack platform。AI 不只是建议命令或生成脚本,而是执行命令、理解攻击环境、在 reconnaissance 和 internal discovery 中自主决策。

九、Anthropic 如何据此更新防护

Anthropic 表示,这些发现已经改变其检测、调查和中断 AI-enabled cyber misuse 的方式。

第一,更新检测系统。最高风险 actors 往往不是最“吵”或技术数量最多的人,而是能编排 AI 执行完整网络行动的人。Anthropic 正扩展 classifiers 和 probes,捕捉与高 ARiES 分相关的 techniques,也在开发不容易映射到 MITRE 的 agentic misuse signals,如 multistep autonomous execution、AI-directed pivot decisions 和通过 MCP servers 的 tool-augmented operations。

第二,Anthropic 已在最强模型上推出 real-time cyber safeguards,在 request level 自动检测和阻断 ransomware development、mass data exfiltration 等禁止活动;同时把更高风险的 dual-use 活动路由到 Cyber Verification Program,让 defensive practitioners 能继续使用模型。

第三,Anthropic 通过 Project Glasswing 在最强模型开放前研究其 offensive cyber capabilities,以便提前理解 AI cyber capability 的方向,并在滥用发生前设计 safeguards。

十、新时代的 MITRE ATT&CK 与防御挑战

文章最后指出,最危险 actors 正在使用 AI 编排攻击,而不只是构建攻击工具;安全调查者依赖的 framework 还没有跟上。依赖 actor 技术成熟度的传统框架,在低技能 actor 也能构建和操作 expert-level harnesses 时会失效。

Anthropic 认为,MITRE ATT&CK 需要增加新的 cross-cutting categories,帮助威胁调查者识别 agentic、自主、决策型行为如何把多个 techniques 链接起来。

同时,defenders 必须以和 attackers 同样的成熟度与紧迫感使用 AI,组织之间要共享 threat intelligence,并缩短从发现软件漏洞到修补漏洞的时间。Anthropic 承认过渡期会很困难;但如果产业、政府和 civil society 认真对待这一时刻,强 AI 系统长期可能更有利于 defenders:在新代码上线前发现 bug,让社会依赖的系统更安全,减少数字环境中的欺诈和滥用。

💎 金句精选

"The 832 accounts in our analysis used AI models for all 14 tactics and 482 unique sub-techniques across the framework, from initial reconnaissance through final impact."

「我们分析的 832 个账号使用 AI 模型覆盖了框架中全部 14 个 tactics 和 482 个唯一 sub-techniques,从初始侦察一直到最终影响。」

"Most strikingly, we found that the percentage of actors labeled as being medium risk or higher jumped from 33% to 56% between the first and second halves of the year."

「最醒目的是,我们发现被标记为中等风险或更高风险的 actors 比例,在这一年前后两半之间从 33% 跳升到 56%。」

"What does distinguish the highest-risk actors is which techniques they’re asking the model for."

「真正区分最高风险 actors 的,是他们要求模型执行哪些 techniques。」

"Instead, the differentiator will become the scaffolding—the surrounding code, architecture, and tooling that makes AI models more capable—that actors build around the model so they can chain together attack stages autonomously."

「真正的区分因素会变成 scaffolding——攻击者围绕模型搭建的代码、架构和工具,使 AI 模型更有能力,并能把攻击阶段自主串联起来。」

"Autonomous killchain orchestration, real-time pivot decisions, and AI-directed execution with no human intervention don’t yet have ID numbers in the ATT&CK framework."

「自主 killchain 编排、实时 pivot 决策、无人类介入的 AI-directed execution,目前在 ATT&CK framework 中还没有编号。」

"Lateral movement was the strongest marker of a high-risk actor: the 54 actors in our dataset who used lateral movement had an average risk score of 56.4, nearly 10 points above the mean of 46.8."

「横向移动是高风险 actor 的最强标志:样本中使用 lateral movement 的 54 个 actors 平均风险分为 56.4,比 46.8 的总体均值高出近 10 分。」

"Technical sophistication, once removed from the composite score to avoid circularity, correlates with the remaining risk components at only r = 0.28."

「为避免循环论证而从综合分中移除后,技术成熟度与其余风险组件的相关性只有 r=0.28。」

"The AI didn't just suggest commands or generate attack scripts; it executed them and reasoned about attack environments autonomously."

「AI 不只是建议命令或生成攻击脚本;它执行这些命令,并自主推理攻击环境。」

"Traditional frameworks that bank on actors being technically sophisticated will fail when low-skill actors can build, command, and operate expert-level harnesses."

「当低技能 actors 能构建、指挥和操作专家级 harnesses 时,依赖攻击者技术成熟度的传统框架会失效。」

"As an industry, we must become much less tolerant of insecure code."

「作为一个行业,我们必须对不安全代码变得远没有过去那么宽容。」

#Anthropic #AI安全 #Cybersecurity #MITRE ATT&CK #Agentic AI #Claude Code #AI治理 #企业安全
← 返回精读列表
阅读英文原文 →