Anthropic 最近发布了一份扎实的网络安全技术报告,审查了 2025 年 3 月至 2026 年 3 月期间因恶意网络活动被封禁的 832 个账户,将每个攻击者的行为逐一映射到 MITRE ATT&CK 框架上。部分结论已收录在 Verizon《2026 数据泄露调查报告》(DBIR)中,完整分析则在 Anthropic 的 Frontier Red Team 博客上。
这不是一篇"AI 很危险"的泛泛声明,而是有数据、有框架、有纵向对比的实证研究。以下三个发现最值得关注。
趋势一:攻击重心从入口向纵深转移
最常见的 AI 用途仍然是写恶意软件——832 个账户中 67.3%(560 个)用 AI 生成恶意代码,这没什么意外。
真正值得注意的是行为模式的变化。在分析的前六个月,钓鱼攻击(AI 辅助)的比例还比较高;到后六个月,AI 辅助钓鱼下降了 8.6%,而账号发现(Account Discovery)上升了 8.9%。横向移动、权限提升等后渗透技术的使用也在增加。
这意味着什么?攻击者不再满足于"打进去",而是把 AI 用在更深、更复杂的阶段。过去这些后渗透操作需要相当的技术积累——手工编写横向移动脚本、分析域控架构、选择提权路径。现在 AI 可以替攻击者完成这些脏活累活,技术门槛被实质性拉低。
趋势二:传统威胁评估体系正在失效
安全团队怎么判断一个攻击者有多危险?传统方法是数他用了多少种技术、看他用什么工具。这种方法的前提假设是:技术越多 = 水平越高。
但 AI 改变了这个等式。报告显示,低技能攻击者平均使用 16 种不同技术,高技能者平均 20 种。差距只有 4 种——统计学上几乎无法区分。用的是什么平台(Claude Code、API 还是聊天界面)同样没有区分度。
更耐人寻味的发现是,真正能区分高危攻击者的信号是 AI 在攻击链中的介入位置。专注于后渗透阶段(横向移动、提权、数据窃取)的攻击者明显更危险。但这个信号本身也在衰减——因为整个攻击者群体都在向这个方向迁移。
报告指出,目前最持久的区分信号是攻击者围绕模型构建的编排架构(scaffolding)。高危攻击者设计了让 AI 自主串联攻击链各阶段的系统,人工干预极少。这本质上是在构建一个以 AI 为核心的自动化攻击流程——和防御方构建 AI Agent 的逻辑如出一辙,只是方向相反。
趋势三:MITRE ATT&CK 框架的盲区
这一点对安全行业的影响最深远。
Anthropic 在 2025 年 11 月披露的那次国家级间谍行动——攻击者操控 Claude Code 对全球目标实施自动渗透——是检验框架适用性的绝佳案例。如果仅按 ATT&CK 框架计数,这个攻击使用了 30 种技术、覆盖 13 个战术,和许多中危攻击者差不多。但 Anthropic 自己的风险评分给了满分 100。
核心问题在于:ATT&CK 框架里没有"AI 自主编排攻击链"这一类行为。模型自主执行命令、利用漏洞、窃取凭证、做实时战术决策、只在关键节点才需要人类确认——这些行为目前没有对应的 ATT&CK ID。框架是为人类攻击者设计的,人类的攻击行为可以拆解为离散的技术点;但 AI Agent 的攻击是连续的、自主的、自决策的,两者在本质上就不匹配。
Anthropic 表示正在与 MITRE 讨论框架的演进方向。这很必要,但仅靠修补分类可能不够——可能需要一套全新的评估维度来描述 AI Agent 级别的威胁。
防御方的应对
Anthropic 在报告中提到,已经在其最强大的模型上部署了网络安全护栏,可以检测并拦截恶意软件开发、大规模数据外泄等行为。这是模型层面的防御。
但报告揭示的更大图景是:AI 不会只改变攻击的一环,它会重新定义整个攻击链的运作方式。防御方需要的不只是更严格的模型安全策略,而是一套能理解、检测、对抗 AI 驱动的自动化攻击的新框架。MITRE ATT&CK 需要升级,SIEM/IDS 规则需要升级,威胁情报的采集维度也需要升级。