AI驱动的脚本小子：新型网络安全威胁

关键信息

DARPA的AIxCC挑战赛显示，AI系统发现了比预设更多的漏洞，包括零日漏洞。Anthropic随后在Claude Opus 4.7中加入了防护机制以防止恶意使用，而开源权重模型因可公开获取也带来额外风险。

资讯摘要

2025年8月，DARPA举办了人工智能网络安全挑战赛（AIxCC），顶级网络安全团队测试了AI漏洞检测工具，这些工具在包含人工植入漏洞的5400万行代码中运行。它们不仅识别出预设漏洞，还发现了十余个此前未知的漏洞。Anthropic推出的Claude Mythos模型——据称能分析任何软件并发现漏洞——标志着网络安全的重大变革。

与过去依赖简单脚本的脚本小子不同，如今的AI驱动攻击者几乎无需技术知识即可实施攻击。专家警告这可能导致广泛滥用，尤其是开源权重模型可能被恶意行为者部署以规避监控。作为回应，Anthropic等公司正在添加安全机制，例如在新版本中阻止有害请求，并通过网络安全验证计划向道德研究人员提供安全访问。

资讯正文

去年8月，业内最优秀的网络安全团队齐聚拉斯维加斯，参加DARPA的人工智能网络挑战赛（AIxCC），展示其AI漏洞检测系统的实力。这些工具扫描了DARPA注入了人为缺陷的5400万行真实软件代码。各团队的能力足以识别大部分人工制造的漏洞，但它们的自动化工具还超越了这一目标——发现了超过12个DARPA并未植入的漏洞。

在Anthropic本月推出Claude Mythos模型之前，这种能自动发现漏洞的系统就已经日益强大，而该模型似乎能对任何它接触到的软件都找出安全漏洞。人们越来越担心的是，AI不仅能发现漏洞，还能被用来利用漏洞，将黑客技能普及到全球每一个人手中。

这不是空穴来风。几十年来，这类缺乏技术能力的黑客被称为“脚本小子”（script kiddie），他们通过从网上复制或使用现成的漏洞工具包中的脚本来发动攻击，虽然并不真正理解这些脚本的原理，却仍能篡改网站、传播病毒。

现在的情况则是一次重大升级：那些没有技术背景的人能够借助AI增强自己的能力，这是过去仅靠简单脚本无法实现的。这很可能带来更广泛的影响。

网络安全公司Trail of Bits的联合创始人兼CEO丹·古多（Dan Guido）表示：“一场海啸正在来临，你已经能看到它了，我们都能看到。你是选择躺下等死，还是采取行动？”

除了Project Glasswing项目之外，Anthropic也在努力防止其软件被犯罪分子滥用。在宣布Claude Mythos后一周，该公司发布了Claude Opus 4.7版本，首次内置了阻止恶意网络安全请求的安全机制（希望用于防御目的的安全专业人士可以申请公司的Cyber Verification Program）。

Anthropic发布Mythos的消息在整个行业引发了震动，但在那之前，AI在网络安全领域的潜力已有迹象显现。2025年6月，自主进攻型安全平台XBOW击败人类黑客，登顶HackerOne漏洞赏金平台的排行榜，显示出AI模型发现漏洞能力的巨大飞跃。

到了AIxCC比赛时，“已经有10到20种不同的漏洞检测系统，能够找到比我们修复速度快几个数量级的漏洞，”古多说，“实际上，这并不是一个新问题。”

AI擅长模式识别，而且人们越来越容易找到已知漏洞的新变种以及尚未被发现的漏洞。同时，编写攻击利用代码也变得越来越容易。

“你可以使用AI工具，在几乎无需人类指导的情况下，甚至在完全没有人工干预的情况下，发现广泛使用的软件中的零日漏洞，”Theori公司的高级安全研究员蒂姆·贝克（Tim Becker）表示。Theori公司也是该竞赛的决赛选手之一。

整个行业对这一问题感到担忧，而模型的改进以及对其能力理解的加深，正以惊人的速度推进。

开放权重模型——即其训练参数（也称为权重）对公众开放的模型——也带来了风险。事实上，贝克指出，高级威胁行为者更有可能自行部署这些模型，以避免利用漏洞被暴露在Anthropic或OpenAI的服务器上，因为Anthropic可能会保留数据用于监控滥用行为。业界正在为接下来可能发生的情况做准备。其他模型开发者可能不像Anthropic那样谨慎，可能会直接将他们强大的新工具公开发布给大众。

“无论神话与否，这已经来了，”吉多（Guido）说。

Mythos模型在编写漏洞利用代码方面代表了一步提升，但当前的模型同样具备这种能力。安全研究人员已经在使用更易获取的模型，在漏洞被实际攻击之前向厂商报告。这意味着恶意行为者也可能利用这些工具从事有害活动，比如为专制政权创建漏洞利用程序，或自行窃取敏感数据。

行业专家预测，AI安全能力的进步将导致更多漏洞被发现。攻击者可以引导AI去寻找那些以前无人愿意投入精力去利用的罕见软件中的缺陷。

“现在，因为付出的成本很低，你可以做那些原本处于食物链底层的事情。你可以为某个公司独有的软件编写漏洞利用程序，也可以为某个公司独有的单一配置编写漏洞利用程序，并且可以实时完成。所以，在入侵某家医院的过程中，当你面前有一堵墙挡着你想要的东西时，你只需把大语言模型指向那堵墙，说‘找出这里的漏洞’，它就能持续运算直到成功。它会找到某种以前从未被发现的漏洞，找到某种配置，运行一个针对全新弱点的攻击，而且用户——黑客——脚本小子几乎不需要付出任何努力……”吉多说。

他说，这极大地增强了脚本小子的能力，因为他们不再需要记忆随机UNIX工具的弱点，而是可以直接依赖所用工具的预训练知识。他们能够以机器的速度迭代漏洞利用程序，这是任何人类——更不用说脚本小子——都无法做到的。

虽然很难准确判断这到底提升了多少攻击者的能力，但显然存在一种相关性。安全研究人员可以帮助我们更好地理解当前发现漏洞的规模有多大。

在贝克开始用人工智能进行自动漏洞发现之前，他曾从事漏洞研究，寻找零日漏洞并报告给维护者。他说，过去他需要几周甚至几个月才能在一个全新的代码库中找到一个高影响力漏洞，而现在只需几个小时。

“我只是把代码丢进我们的AI漏洞检测工具里，两三个小时后就能得到一份包含多个候选漏洞的报告，其中大多数最终都被证实是真的问题，”他说，“现在深入一个百万行代码的新项目并找到漏洞的门槛比以前低太多了。”

每次自动化工具发布时，都会引发一定程度的恐慌，担心它可能被滥用——无论是文本转图像生成器，还是像Metasploit这样的开源工具（用于开发和交付攻击）。这种恐慌甚至可以追溯到1995年，当时一款名为SATAN（Security Administrator Tool for Analyzing Networks的缩写）的免费软件漏洞扫描器问世。

通常情况下，自动化工具并不会带来预期或预测中的大规模混乱，这往往是因为防范措施到位、攻击者采用率低或其他因素。

Security Superintelligence Labs的联合创始人兼CTO乔舒亚·萨克斯（Joshua Saxe）在一篇博客文章中写道，攻击本身并不会导致网络攻击，而且AI漏洞研究工具的采用是逐步推进的。

“似乎存在一种隐含的心理模型：某种新的对抗性工具出现……于是我们立刻就会看到这些工具被用于犯罪行为。这是一种不需要思考或实际调查人类到底在做什么的思维模式，”他对《The Verge》表示。

萨克斯指出，某些攻击群体在将其融入现有工作流程和组织文化时可能会遇到阻力。“这里存在整个关于人类和组织层面的因素，”他说。

“也许某些攻击群体确实会迅速采用这些新工具，也可能是采纳曲线非常缓慢。有些人仍会继续通过钓鱼或使用已有的漏洞入侵网络，而另一些人则可能开始利用这些工具开发新的攻击手段。”

尽管目前还无法预测采用速度，但企业可以采取一些措施来应对即将到来的漏洞报告浪潮。

Luta Security的创始人兼CEO凯蒂·穆苏里斯（Katie Moussouris）在一篇博客文章中创造了术语“Vulnapalooza”，并附上一张音乐会海报和安全团队的生存指南，解释这是企业加固自身薄弱环节的最佳时机。对企业的建议并不复杂，仍然遵循标准最佳实践：网络分段、强化身份与访问管理、使用内存安全代码、采用防钓鱼认证方式以及保持软件及时更新。

“黑客脚本小子”的攻击

云安全联盟发布了一份加快节奏的战略简报，详细阐述了制定“神话级”安全计划的方法，其中涵盖了上述许多概念。报告还强调，不仅要修补漏洞，还要确定哪些漏洞需要优先处理。但应对机器速度威胁的需求是全新的，漏洞报告的数量已经急剧上升，这促使人们必须为更多事件做好准备，并以更快的速度进行缓解和控制。

穆苏里斯表示，许多网络安全岗位人员因人工智能的效率而被裁员，尽管正是这种效率使得更需要保留大量人工参与。企业将需要人类威胁猎手、威胁情报官和事件响应人员来应对新漏洞的汹涌来袭。同时还需要人员决定优先修补哪些漏洞并实施修复。

“我们还没有能自动完成所有这些任务的人工智能防御工具，我认为我们需要扩充团队并招聘大量人员，”她说。组织还需要构建安全的软件和网络架构，以避免陷入无休止的修补循环。“你必须从一开始就打造更安全的软件，我们无法靠事件响应来实现韧性。”

那些尚未准备好招聘人员的组织至少可以简化供应商入驻流程，以便在需要时更容易引入人力或服务。“当你正遭受攻击且无法跟上补丁发布节奏时，不希望陷入长达四个月的供应商采购流程，”穆苏里斯说。

虽然许多人担心漏洞问题，但穆苏里斯认为所谓的“漏洞末日”实际上会表现为“补丁海啸”。

“该模型已识别出数千个漏洞，而这次协调努力即将带来的补丁洪流将成为首个主要痛点，”她说。

那些修补系统速度较慢的组织可能会遭遇意外打击。拖延太久可能面临针对AI发现漏洞的主动攻击，甚至可能使用由AI模型编写的漏洞利用代码。

“从漏洞公布到可利用代码出现的时间现在已经几乎缩短为零，这是一个重大调整，我认为人们必须将其纳入风险评估中，考虑自己能花多久时间去做事，以及为此投入多少资源，”她解释道。”

利用人工智能至少可以加快修复或缓解漏洞的过程。贝克尔表示，Theori公司正在开发一款名为Xint的商用工具，并已在开源代码库上运行该工具，通过手动向维护者报告高严重性问题来展示其能力——该公司自掏腰包发送详细报告并附带修复建议，既作为社区加固项目，也为了证明工具的功能。Xint当前版本在扫描相同代码库时，找到了 Mythos 所有发现的漏洞，还额外发现了12个零日漏洞，这些漏洞并未包含在 Anthropic 的公告中。

然而，缓解这些漏洞并不会像发现它们那样快速，因为这需要对代码库非常熟悉的工程师来判断补丁是否是最佳修复方式，或者是否会降低代码的可维护性，或在未来使代码更难理解。有时候一个补丁确实能解决问题，但未必是最好的方案，因此仍需投入人力和时间才能将解决方案完善。

大量漏洞被报告出来可能导致待修补的问题堆积如山，尤其是对于开源项目的维护者来说，他们可能无法跟上如此大的工作量。

并非所有漏洞都对攻击者有用，但要从海量漏洞中筛选出哪些最值得优先修复，难度几乎等同于修复本身。

穆苏里斯表示：“很多优先级判断必须结合具体情境。”例如，一个内部运行且外部难以访问的严重漏洞，可能优先级低于一个暴露在公司边界上的低危漏洞。

除了漏洞优先级排序外，组织还需要决定何时应用会限制功能甚至导致停机的补丁，何时等待。安全控制措施越少，他们就需要越多时间来进行修补。

仅仅发布补丁会使攻击者更容易逆向分析修复方案，从而利用他们原本可能不知道的漏洞，尤其是在尚未更新设备上。这意味着消费者也需要习惯频繁更新软件，以应对日益增加的安全补丁。同时，组织应投资于安全架构设计，从根本上减少需要管理的补丁数量。

但正如穆苏里斯所言，这并不意味着要绝望。“你不必把它当成史上最糟糕的事情，”她告诉《连线》杂志，“你可以把它看作是我们加强防御的机会，争取到预算去做那些一直拖延的事情。”

无论组织采取何种态度，都必须做好准备。风险更高了，即使是脚本小子（script kiddies）也有更多机会发现并利用漏洞。企业需要制定应对这种由人工智能赋能的新威胁的策略。

“2026年将是决定成败的一年，”吉多说，“企业现在就需要保护好自己的系统，因为它们还有时间来提前布局。如果它们不这么做，我们将在2026年底面临满目疮痍的局面。”

来源与参考

1. 原始链接
2. Attack of the killer script kiddies