2025年7月，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)中心（CERT-UA）披露了一個(gè)讓安全圈集體沉默的發(fā)現(xiàn)：一款名叫LAMEHUG的惡意程序，被俄羅斯黑客組織APT28用來(lái)攻擊烏克蘭政府機(jī)構(gòu)。它直接在代碼里調(diào)用Hugging Face上的開(kāi)源大模型（Qwen 2.5-Coder），讓AI實(shí)時(shí)生成系統(tǒng)命令，偷取目標(biāo)機(jī)器上的數(shù)據(jù)。這是全球公開(kāi)確認(rèn)的第一個(gè)把大語(yǔ)言模型真正“嵌入”運(yùn)行時(shí)的在野惡意軟件。

僅僅一個(gè)月后，安全公司ESET又抓到另一個(gè)樣本——PromptLock。這是一款勒索軟件，它不把惡意代碼寫(xiě)死在程序里，而是在運(yùn)行時(shí)實(shí)時(shí)調(diào)用本地大模型（通過(guò)Ollama跑gpt-oss模型），根據(jù)受害者電腦里的文件類(lèi)型和內(nèi)容，動(dòng)態(tài)決定要加密什么、怎么破壞、索要多少贖金。安全研究員直接把它叫做“勒索軟件3.0”。這正是我們前面九篇講的所有AI投毒威脅的一次集大成：AI既是被攻擊的目標(biāo)，也變成了攻擊者的武器。

這件事的沖擊，比聽(tīng)起來(lái)還要大。過(guò)去寫(xiě)病毒要靠人手工敲代碼、調(diào)試、測(cè)試；代碼一旦寫(xiě)死，殺毒軟件就能提取特征、建樣本庫(kù)，下次直接攔住。這套規(guī)則跑了快四十年。PromptLock徹底打破了它——惡意代碼是攻擊當(dāng)時(shí)AI現(xiàn)生成的，每次都不一樣，傳統(tǒng)基于特征的檢測(cè)根本無(wú)從下手。多家國(guó)際威脅情報(bào)團(tuán)隊(duì)在2025年的報(bào)告里都直言：這類(lèi)新型惡意軟件“動(dòng)態(tài)生成腳本、混淆自身代碼、按需創(chuàng)建惡意功能”，雖然還在早期，但已經(jīng)是在野真實(shí)威脅。

消息出來(lái)后，很多人第一反應(yīng)是：“那AI公司要不要負(fù)責(zé)？”這個(gè)問(wèn)題問(wèn)得對(duì)，但答案沒(méi)那么簡(jiǎn)單。2025年，OpenAI、Anthropic和Google都先后在自己的威脅情報(bào)報(bào)告里承認(rèn)：有攻擊者利用他們的大模型和AI智能體工具，對(duì)全球科技、金融領(lǐng)域的機(jī)構(gòu)發(fā)起自動(dòng)化攻擊。這些公司選擇了主動(dòng)披露，這本身已經(jīng)是負(fù)責(zé)任的態(tài)度。但它也說(shuō)明一個(gè)殘酷事實(shí)——哪怕是全球最頂尖的AI平臺(tái)，也沒(méi)法在事前100%阻止自己的能力被濫用。菜刀能切菜也能傷人，AI工具本身中性，用來(lái)防御還是攻擊，取決于誰(shuí)在用、怎么用。

把視線拉回國(guó)內(nèi)，看一組實(shí)打?qū)嵉臄?shù)據(jù)。2025年9月，國(guó)家網(wǎng)絡(luò)安全宣傳周期間，國(guó)內(nèi)首次針對(duì)AI大模型的實(shí)網(wǎng)眾測(cè)結(jié)果公布：559名白帽子對(duì)15款主流大模型及應(yīng)用產(chǎn)品進(jìn)行測(cè)試，一共挖出281個(gè)安全漏洞，其中大模型特有漏洞177個(gè)，占比超過(guò)63%。提示注入、越獄、對(duì)抗樣本……全是這個(gè)專(zhuān)欄反復(fù)講的那幾類(lèi)，傳統(tǒng)安全檢測(cè)完全覆蓋不了。

與此同時(shí)，奇安信鷹圖平臺(tái)的監(jiān)測(cè)數(shù)據(jù)顯示，國(guó)內(nèi)運(yùn)行Ollama AI框架的服務(wù)器中，高達(dá)88.9%直接暴露在公網(wǎng)，沒(méi)有任何訪問(wèn)控制。任何人不用認(rèn)證，就能調(diào)用上面部署的DeepSeek、Qwen等大模型，甚至直接發(fā)命令刪除模型文件。這不是個(gè)別公司疏忽，而是整個(gè)行業(yè)在快速普及AI時(shí)，安全建設(shè)明顯跟不上的縮影。

奇安信2026年網(wǎng)絡(luò)安全趨勢(shì)報(bào)告把問(wèn)題點(diǎn)得很透：攻防雙方在使用AI時(shí)，存在結(jié)構(gòu)性不對(duì)稱(chēng)。攻擊方可以大規(guī)模試錯(cuò)，一百次失敗只要一次成功就賺；防御方必須零容錯(cuò)，一次失誤可能就是不可逆損失。但這不代表防御方只能挨打。阿里云與Omdia聯(lián)合發(fā)布的報(bào)告顯示，企業(yè)把“安全和數(shù)據(jù)隱私”視為AI應(yīng)用主要障礙的比例，從2023年的11%猛漲到2024年的43%。越來(lái)越多的企業(yè)開(kāi)始把安全當(dāng)成“事前必選項(xiàng)”——已經(jīng)有制造業(yè)公司明確要求，AI方案進(jìn)評(píng)審前必須通過(guò)提示注入、越獄、越權(quán)調(diào)用等負(fù)面測(cè)試，通不過(guò)直接淘汰。這種意識(shí)轉(zhuǎn)變，才是行業(yè)真正走向成熟的信號(hào)。

這個(gè)專(zhuān)欄到這里就快講完了。我們從第一篇的傳統(tǒng)木馬蠕蟲(chóng)，一路講到第十篇的“AI打AI”，走過(guò)了數(shù)字威脅四十年的進(jìn)化史，也把AI投毒從訓(xùn)練階段到推理階段、從模型本身到整個(gè)應(yīng)用生態(tài)的完整圖譜畫(huà)了出來(lái)。

我想用一句話收尾：病毒的進(jìn)化，從來(lái)不是關(guān)于技術(shù)的故事，而是關(guān)于人類(lèi)把什么托付給了機(jī)器的故事。從軟盤(pán)里的數(shù)據(jù)，到網(wǎng)上的賬號(hào)，到工廠的機(jī)器，再到今天AI模型里的判斷力——每一次我們把更重要的東西交給機(jī)器，攻擊者就把槍口對(duì)準(zhǔn)那里。這不會(huì)停，因?yàn)榧夹g(shù)不會(huì)停。我們能做的，就是每一次托付都比上一次更清醒、更有準(zhǔn)備：知道自己在托付什么，知道它可能被怎么利用，知道出了事該怎么找回來(lái)。這就是整個(gè)專(zhuān)欄最想留給你的——不是恐懼，是清醒。

最后三個(gè)問(wèn)題，請(qǐng)?jiān)谠u(píng)論區(qū)告訴我你的真實(shí)想法：

1. 看完這十篇，你覺(jué)得AI投毒這件事，普通用戶(hù)最需要改的是哪一個(gè)具體行為習(xí)慣？還是說(shuō)這根本不是普通用戶(hù)該操心的事，應(yīng)該全交給企業(yè)和監(jiān)管？

2. “攻擊者開(kāi)始用AI打造病毒”這件事，讓你更焦慮了，還是因?yàn)椤胺烙揭苍谟肁I”所以覺(jué)得還能打？

3. 如果你每天用的AI助手，從出廠那天起就被人動(dòng)過(guò)手腳，99%時(shí)間表現(xiàn)完全正常，只在某些特定條件下給出被操控的答案——今天看完這十篇，你覺(jué)得自己有辦法發(fā)現(xiàn)嗎？

把你的答案和經(jīng)歷寫(xiě)下來(lái)，咱們把AI安全這件事，聊到最后。#人工智能未來(lái)#