使用AI agent進行網路攻擊-成也Agent、敗也Agent
2025年11月14日,人工智慧新創公司 Anthropic 發布了一份報告,內容指出,人工智慧系統首次發動了一場高度自主的網路攻擊。這次攻擊發生在2024年 9 月,被歸咎於與中國政府有關的駭客組織 GTG-1002。
2025年9月中旬,Anthropic偵測到可疑活動,後來經過調查確定是一場高度複雜的網路攻擊活動。攻擊者以前所未有的程度利用了人工智慧的Agent(代理;或智能體)——不僅將人工智慧用作顧問,而且還利用人工智慧親自執行網路攻擊。
Anthropic高度確信,這次攻擊行為者是一個由中國政府支持的組織。該組織利用該公司的 Claude Code 工具,試圖滲透到全球約 30 個目標系統中,並在少數案例中成功入侵。此次行動的目標包括大型科技公司、金融機構、化學製造企業和政府機構。該公司認為,這是首例在幾乎沒有人為干預的情況下實施的大規模網路攻擊案例。
Anthropic發現此項活動後,立即展開調查。在接下來的十天裡,Anthropic逐步釐清此次行動的嚴重程度和全部範圍,並根據情況封鎖了相關帳戶,通知了受影響的實體,同時與相關部門協調,收集可採取行動的情報。
據 Anthropic 公司稱,人工智慧自主執行了 80% 到 90% 的必要操作:偵察、漏洞掃描、攻擊利用、憑證竊取、資料分析和資料竊取。在獲得高級指導後,它指揮其他人工智慧代理,其速度和規模是任何人類團隊都無法比擬的。人類操作員最多只需 30 分鐘即可完成操作。他們負責戰略,而人工智慧則負責執行戰術。
人工智慧代理(agent)是指能夠長時間自主運作並基本上無需人工干預即可完成複雜任務的系統。代理(agent)對日常工作和生產力至關重要,但如果落入不法分子之手,它們會大大增加大規模網路攻擊的可能性。
挫敗 AI Agent
主導的網絡攻擊活動
當人工智慧不再只是工具,而是成為了執行攻擊的「代理人」。
事件概覽
2025年9月中旬,Anthropic 偵測到一起高度複雜的間諜活動。這被認為是第一起有記錄的、由 AI 在沒有大量人類干預的情況下執行的大規模網絡攻擊。
-
攻擊來源: 評估為中國國家資助的駭客組織。
-
攻擊目標: 全球約 30 個目標,包括大型科技公司、金融機構、化工廠與政府機構。
人類駭客僅需在 4-6 個關鍵決策點介入,其餘皆由 AI 代理(Agents)執行。
AI 代理化攻擊的三大要素
為何這次攻擊與眾不同?
智慧 (Intelligence)
模型能力提升至可理解複雜指令。攻擊者通過 “Jailbreaking”(越獄)欺騙 AI,使其誤以為正在進行合法的資安防禦測試。
代理能力 (Agency)
AI 不再只是聊天機器人,而是能在迴圈中自主運行、串聯任務並做出決策的「代理人」,大幅減少人類介入。
工具使用 (Tools)
利用 Model Context Protocol (MCP) 等標準,AI 可操作網絡掃描器、密碼破解器等真實軟體工具。
網路攻擊生命週期
Phase 1: 設置與越獄
人類操作員選擇目標,並欺騙 Claude 相信它是合法的資安員工,以此繞過安全護欄。
Phase 2: 自動偵查
Claude Code 檢查目標系統,以超越人類團隊的速度找出高價值資料庫與弱點。
Phase 3: 漏洞利用與提權
AI 自行編寫漏洞利用代碼 (Exploit Code),獲取使用者憑證,並識別高權限帳戶。
Phase 4: 資料竊取
建立後門,將竊取的資料分類並傳出。攻擊高峰期,AI 可發出數千次請求,速度遠超人類。
Phase 5: 文檔記錄
AI 自動生成完整的攻擊報告與憑證檔案,供駭客進行下一階段攻擊規劃。
Anthropic 的應對
-
快速調查
偵測到活動後立即啟動調查,在 10 天內繪製出攻擊全貌。
-
阻斷與通知
封鎖惡意帳戶,並通知受害企業與相關執法單位。
-
公開透明
公開案例報告,協助資安社群強化防禦。
關鍵啟示:雙刃劍
這次事件證明,降低網絡攻擊門檻的 AI 能力,同時也是防禦的關鍵。
“讓 Claude 能夠被用於攻擊的能力,正是它對網絡防禦至關重要的原因。”
– Anthropic Report
參考來源:
