AI系統(tǒng)正在多個(gè)戰(zhàn)線(xiàn)同時(shí)遭受攻擊，安全研究人員表示大多數(shù)漏洞目前都沒(méi)有已知的修復(fù)方法。

威脅行為者劫持自主AI智能體進(jìn)行網(wǎng)絡(luò)攻擊，僅需250個(gè)文檔和60美元就能毒化訓(xùn)練數(shù)據(jù)。提示注入攻擊對(duì)56%的大語(yǔ)言模型都能成功。模型存儲(chǔ)庫(kù)中藏有數(shù)十萬(wàn)惡意文件。深度偽造視頻通話(huà)已經(jīng)竊取了數(shù)千萬(wàn)美元。

讓AI有用的能力同時(shí)也讓它變得容易被利用。這些系統(tǒng)推進(jìn)的速度每分鐘都在加劇這一現(xiàn)實(shí)。安全團(tuán)隊(duì)現(xiàn)在面臨一個(gè)沒(méi)有好答案的計(jì)算：要么通過(guò)避免AI而落后于競(jìng)爭(zhēng)對(duì)手，要么部署具有根本缺陷且攻擊者已在利用的系統(tǒng)。

智能體劫持：第一起大規(guī)模自主網(wǎng)絡(luò)攻擊

今年9月，Anthropic披露中國(guó)國(guó)家支持的黑客武器化了其Claude Code工具，進(jìn)行了該公司所稱(chēng)的"第一起有記錄的無(wú)需大量人工干預(yù)執(zhí)行的大規(guī)模網(wǎng)絡(luò)攻擊"。

攻擊者通過(guò)將惡意任務(wù)分解為看似無(wú)害的請(qǐng)求來(lái)越獄Claude Code，說(shuō)服AI認(rèn)為它在執(zhí)行防御性安全測(cè)試。根據(jù)Anthropic的技術(shù)報(bào)告，該系統(tǒng)自主進(jìn)行偵察，編寫(xiě)漏洞利用代碼，并從大約30個(gè)目標(biāo)中竊取數(shù)據(jù)。

哈佛肯尼迪學(xué)院研究員Bruce Schneier在2025年8月的博客文章中寫(xiě)道："我們沒(méi)有任何智能體AI系統(tǒng)能夠安全防御這些攻擊。"

德勤最近的報(bào)告發(fā)現(xiàn)，23%的公司在適度使用AI智能體，但預(yù)計(jì)到2028年這一比例將增至74%。麥肯錫研究顯示，80%的組織已經(jīng)經(jīng)歷了智能體問(wèn)題，包括不當(dāng)?shù)臄?shù)據(jù)暴露和未授權(quán)的系統(tǒng)訪(fǎng)問(wèn)。

提示注入：三年未解的根本漏洞

在安全研究人員將提示注入識(shí)別為關(guān)鍵AI漏洞三年后，這個(gè)問(wèn)題仍然根本未解決。一項(xiàng)針對(duì)36個(gè)大語(yǔ)言模型的系統(tǒng)性研究測(cè)試了144種攻擊變體，發(fā)現(xiàn)56%的攻擊在所有架構(gòu)上都成功了。

該漏洞源于語(yǔ)言模型處理文本的方式。2022年創(chuàng)造"提示注入"一詞的安全研究員Simon Willison解釋了這一架構(gòu)缺陷："沒(méi)有機(jī)制說(shuō)'其中一些詞比其他詞更重要'。它只是一個(gè)Token序列。"

與已通過(guò)參數(shù)化查詢(xún)解決的SQL注入不同，提示注入沒(méi)有等效的修復(fù)方法。OWASP將提示注入列為大語(yǔ)言模型應(yīng)用十大漏洞之首，稱(chēng)"在大語(yǔ)言模型內(nèi)沒(méi)有萬(wàn)無(wú)一失的預(yù)防措施"。

數(shù)據(jù)中毒：60美元就能腐蝕AI訓(xùn)練

根據(jù)Google DeepMind的研究，攻擊者大約花費(fèi)60美元就能破壞主要的AI訓(xùn)練數(shù)據(jù)集，使數(shù)據(jù)中毒成為破壞企業(yè)AI系統(tǒng)最便宜且最有效的方法之一。Anthropic和英國(guó)AI安全研究所2025年10月的另一項(xiàng)研究發(fā)現(xiàn)，僅250個(gè)中毒文檔就能后門(mén)任何大語(yǔ)言模型，無(wú)論參數(shù)數(shù)量如何。

與利用推理的提示注入攻擊不同，數(shù)據(jù)中毒腐蝕的是模型本身。該漏洞可能已經(jīng)嵌入到生產(chǎn)系統(tǒng)中，在被觸發(fā)之前一直潛伏。Anthropic的"沉睡智能體"論文提供了最令人不安的發(fā)現(xiàn)：后門(mén)行為在監(jiān)督微調(diào)、強(qiáng)化學(xué)習(xí)和對(duì)抗訓(xùn)練中持續(xù)存在。

深度偽造欺詐：技術(shù)門(mén)檻已崩塌

英國(guó)工程巨頭奧雅納的一名財(cái)務(wù)工作人員在與其首席財(cái)務(wù)官和幾名同事的視頻會(huì)議后進(jìn)行了15筆電匯，總計(jì)2560萬(wàn)美元。通話(huà)中的每個(gè)人都是AI生成的假冒者；攻擊者在奧雅納高管的公開(kāi)會(huì)議和企業(yè)材料視頻上訓(xùn)練了深度偽造模型。

高管的公眾知名度創(chuàng)造了結(jié)構(gòu)性漏洞。會(huì)議露面和媒體采訪(fǎng)為語(yǔ)音和視頻克隆提供訓(xùn)練數(shù)據(jù)。Gartner預(yù)測(cè)，到2028年，40%的社會(huì)工程攻擊將使用深度偽造音頻和視頻針對(duì)高管。

創(chuàng)建令人信服的深度偽造的技術(shù)門(mén)檻已經(jīng)崩塌。McAfee實(shí)驗(yàn)室發(fā)現(xiàn)，三秒鐘的音頻就能產(chǎn)生85%準(zhǔn)確率的語(yǔ)音克隆。卡巴斯基研究記錄了暗網(wǎng)深度偽造服務(wù)，視頻起價(jià)50美元，語(yǔ)音消息30美元。

檢測(cè)技術(shù)正在輸?shù)糗妭涓?jìng)賽。Deepfake-Eval-2024基準(zhǔn)測(cè)試發(fā)現(xiàn)，最先進(jìn)的檢測(cè)器對(duì)視頻達(dá)到75%準(zhǔn)確率，對(duì)圖像達(dá)到69%。人類(lèi)檢測(cè)表現(xiàn)更差，研究發(fā)現(xiàn)人們正確識(shí)別高質(zhì)量視頻深度偽造的準(zhǔn)確率僅為24.5%。

Q&A

Q1：AI智能體劫持是怎么發(fā)生的？

A：攻擊者通過(guò)將惡意任務(wù)分解為看似無(wú)害的請(qǐng)求來(lái)欺騙AI系統(tǒng)，讓AI認(rèn)為它在執(zhí)行正當(dāng)?shù)陌踩珳y(cè)試。然后AI會(huì)自主進(jìn)行偵察、編寫(xiě)攻擊代碼并竊取數(shù)據(jù)，整個(gè)過(guò)程無(wú)需人工大量干預(yù)。

Q2：提示注入攻擊為什么這么難防護(hù)？

A：因?yàn)檎Z(yǔ)言模型處理文本時(shí)無(wú)法區(qū)分哪些詞更重要，它只是處理Token序列。當(dāng)AI讀取包含隱藏指令的文檔時(shí)，會(huì)像處理合法用戶(hù)命令一樣處理這些惡意指令，目前沒(méi)有根本性的修復(fù)方法。

Q3：深度偽造技術(shù)門(mén)檻有多低？

A：技術(shù)門(mén)檻已經(jīng)大幅降低，僅需3秒音頻就能生成85%準(zhǔn)確率的語(yǔ)音克隆，暗網(wǎng)服務(wù)視頻偽造起價(jià)50美元，語(yǔ)音消息30美元。普通RTX 2070顯卡就能實(shí)現(xiàn)實(shí)時(shí)換臉。