97 million。這是litellm的月下載量，也是昨天供應(yīng)鏈攻擊的波及半徑。一次pip install，SSH密鑰、AWS憑證、API令牌、加密錢包——全部在1小時(shí)內(nèi)被無聲抽走。

安全團(tuán)隊(duì)事后復(fù)盤時(shí)發(fā)現(xiàn)，他們連攻擊面長什么樣都沒畫過。這不是能力問題，是地圖問題。

2023-2026：AI系統(tǒng)的"黑暗森林"時(shí)期

過去三年，每家公司部署AI系統(tǒng)時(shí)，都創(chuàng)造了一種安全團(tuán)隊(duì)從未見過的攻擊面。提示詞注入、RAG管道投毒、智能體間操控、MCP服務(wù)器漏洞、語音AI繞過、AI依賴供應(yīng)鏈攻擊——清單越列越長，但沒人告訴你怎么測。

現(xiàn)有框架的盲區(qū)很具體：

OWASP LLM Top 10給你漏洞分類，沒給測試方法；MITRE ATLAS畫了對手畫像，沒給從業(yè)者操作手冊；NIST AI RMF搭了治理架子，沒給攻擊技術(shù)細(xì)節(jié)。

我們補(bǔ)的是中間那層缺失的——技術(shù)級別的實(shí)操方法論。

AAISAF是什么：把MITRE ATT&CK翻譯成AI語境

AAISAF（AI Security Assessment Framework，AI安全評估框架）今天開源。結(jié)構(gòu)完全對標(biāo)MITRE ATT&CK：戰(zhàn)術(shù)→技術(shù)→子技術(shù)，但全部重新設(shè)計(jì)以適應(yīng)AI系統(tǒng)特性。

10個(gè)戰(zhàn)術(shù)類別，87個(gè)評估技術(shù)，9個(gè)領(lǐng)域檢查清單，6個(gè)合規(guī)框架映射，3種評估時(shí)長（30分鐘/1-2天/5-10天），5級成熟度模型。

每個(gè)技術(shù)條目強(qiáng)制包含：攻擊描述與前置條件、AISS嚴(yán)重程度評分（0.0-10.0）、檢測指引、修復(fù)步驟、證據(jù)——CVE編號、已記錄事件或同行評審研究，缺一不可。

「我們不是在發(fā)明新漏洞，」框架作者Joseph Thacker寫道，「是在把散落在GitHub issue、學(xué)術(shù)論文、事故報(bào)告里的碎片，拼成一張能導(dǎo)航的地圖?！?/p>

TA10：MCP服務(wù)器——數(shù)千生產(chǎn)部署，零框架覆蓋

Model Context Protocol（模型上下文協(xié)議）是Anthropic 2024年11月發(fā)布的工具連接標(biāo)準(zhǔn)。14個(gè)月后，它已成為事實(shí)上的全球集成標(biāo)準(zhǔn)，數(shù)千生產(chǎn)部署——但安全框架的覆蓋數(shù)為0。

CVE-2025-6514，CVSS評分9.6，1,467臺暴露服務(wù)器面向公網(wǎng)。AAISAF為此建了12項(xiàng)技術(shù)：

工具描述投毒（AISS 8.1）、Rug Pull攻擊（8.4）、工具影子化（8.0）、跨域注入（8.3）、工具鏈提權(quán)（8.7）、SSRF（7.2）、數(shù)據(jù)外泄（7.5）、認(rèn)證繞過（9.1）、惡意服務(wù)器注冊（8.5）、參數(shù)注入（7.0）、傳輸層利用（7.3）、同意疲勞利用（5.8）。

Thacker的生產(chǎn)環(huán)境運(yùn)行著13個(gè)智能體的AI編排系統(tǒng)，MCP服務(wù)器是核心組件。這些技術(shù)不是實(shí)驗(yàn)室假想，是從內(nèi)部架構(gòu)理解中長出來的。

「當(dāng)你自己就是用戶，攻擊面的盲點(diǎn)會自己跳出來。」

TA06：語音AI——每天處理百萬通電話，安全框架沉默

醫(yī)療預(yù)約、金融客服、銷售外呼——數(shù)百萬AI電話智能體每天實(shí)時(shí)處理真人通話。自主決策、被默認(rèn)信任，只因?yàn)槁曇粝袢恕?/p>

AAISAF首次系統(tǒng)映射了針對它們的攻擊技術(shù)：語音提示詞注入（AISS 7.0）、合成語音偽造/深度偽造（8.5）、對話狀態(tài)操控（6.8）、語音生物特征繞過（8.2）、實(shí)時(shí)音頻流篡改（7.5）、DTMF信號注入（5.4）、背景噪音攻擊（4.9）、語音驗(yàn)證碼繞過（7.8）、多輪對話誘導(dǎo)（6.5）。

這些技術(shù)的共同點(diǎn)是：攻擊面不在代碼層，在聲學(xué)層和認(rèn)知層。傳統(tǒng)安全工具看不見，但AAISAF給每個(gè)都標(biāo)了檢測信號和緩解方案。

昨天的litellm事件：TA05供應(yīng)鏈攻擊的教科書案例

回到開頭。litellm被入侵的方式，在AAISAF中歸類為TA05（AI供應(yīng)鏈攻擊）下的子技術(shù)T05.003（惡意包注入）。

攻擊路徑很干凈：攻擊者獲取PyPI包維護(hù)權(quán)限→發(fā)布帶后門的補(bǔ)丁版本→依賴自動更新機(jī)制擴(kuò)散→開發(fā)環(huán)境憑證收割。從入侵到被發(fā)現(xiàn)，窗口期以小時(shí)計(jì)。

AAISAF給這類攻擊的評估建議是：30分鐘快速檢查清單（驗(yàn)證包簽名、審查最近版本變更、檢查網(wǎng)絡(luò)出站異常）+ 1-2天深度評估（依賴圖譜分析、構(gòu)建流程審計(jì)、SBOM完整性驗(yàn)證）。

「如果你連攻擊面地圖都沒有，連該查什么都不知道，」Thacker在發(fā)布文檔里寫，「97 million次下載只是數(shù)字，直到它變成97 million個(gè)潛在入口?！?/p>

AAISAF今天開源在GitHub。第一個(gè)pull request已經(jīng)進(jìn)來：某金融公司的安全團(tuán)隊(duì)提交了他們在語音AI紅隊(duì)測試中的補(bǔ)充技術(shù)。

你的AI系統(tǒng)里，哪個(gè)組件的暴露面還沒被畫進(jìn)任何地圖？