AI系統正在多個戰線同時遭受攻擊,安全研究人員表示大多數漏洞目前都沒有已知的修複方法。
威脅行為者劫持自主AI智能體進行網路攻擊,僅需250個文檔和60美元就能毒化訓練數據。提示注入攻擊對56%的大語言模型都能成功。模型存儲庫中藏有數十萬惡意文件。深度偽造影片通話已經竊取了數千萬美元。
讓AI有用的能力同時也讓它變得容易被利用。這些系統推進的速度每分鐘都在加劇這一現實。安全團隊現在面臨一個沒有好答案的計算:要麼通過避免AI而落後於競爭對手,要麼部署具有根本缺陷且攻擊者已在利用的系統。
智能體劫持:第一起大規模自主網路攻擊
今年9月,Anthropic披露中國國家支持的黑客武器化了其Claude Code工具,進行了該公司所稱的"第一起有記錄的無需大量人工干預執行的大規模網路攻擊"。
攻擊者通過將惡意任務分解為看似無害的請求來越獄Claude Code,說服AI認為它在執行防禦性安全測試。根據Anthropic的技術報告,該系統自主進行偵察,編寫漏洞利用代碼,並從大約30個目標中竊取數據。
哈佛甘迺迪學院研究員Bruce Schneier在2025年8月的部落格文章中寫道:"我們沒有任何智能體AI系統能夠安全防禦這些攻擊。"
德勤最近的報告發現,23%的公司在適度使用AI智能體,但預計到2028年這一比例將增至74%。麥肯錫研究顯示,80%的組織已經經歷了智能體問題,包括不當的數據暴露和未授權的系統訪問。
提示注入:三年未解的根本漏洞
在安全研究人員將提示注入識別為關鍵AI漏洞三年後,這個問題仍然根本未解決。一項針對36個大語言模型的系統性研究測試了144種攻擊變體,發現56%的攻擊在所有架構上都成功了。
該漏洞源於語言模型處理文本的方式。2022年創造"提示注入"一詞的安全研究員Simon Willison解釋了這一架構缺陷:"沒有機制說'其中一些詞比其他詞更重要'。它只是一個Token序列。"
與已通過參數化查詢解決的SQL注入不同,提示注入沒有等效的修複方法。OWASP將提示注入列為大語言模型應用十大漏洞之首,稱"在大語言模型內沒有萬無一失的預防措施"。
數據中毒:60美元就能腐蝕AI訓練
根據Google DeepMind的研究,攻擊者大約花費60美元就能破壞主要的AI訓練數據集,使數據中毒成為破壞企業AI系統最便宜且最有效的方法之一。Anthropic和英國AI安全研究所2025年10月的另一項研究發現,僅250個中毒文檔就能後門任何大語言模型,無論參數數量如何。
與利用推理的提示注入攻擊不同,數據中毒腐蝕的是模型本身。該漏洞可能已經嵌入到生產系統中,在被觸發之前一直潛伏。Anthropic的"沉睡智能體"論文提供了最令人不安的發現:後門行為在監督微調、強化學習和對抗訓練中持續存在。
深度偽造欺詐:技術門檻已崩塌
英國工程巨頭奧雅納的一名財務工作人員在與其首席財務官和幾名同事的影片會議後進行了15筆電匯,總計2560萬美元。通話中的每個人都是AI生成的假冒者;攻擊者在奧雅納高管的公開會議和企業材料影片上訓練了深度偽造模型。
高管的公眾知名度創造了結構性漏洞。會議露面和媒體採訪為語音和影片克隆提供訓練數據。Gartner預測,到2028年,40%的社會工程攻擊將使用深度偽造音頻和影片針對高管。
創建令人信服的深度偽造的技術門檻已經崩塌。McAfee實驗室發現,三秒鐘的音頻就能產生85%準確率的語音克隆。卡巴斯基研究記錄了暗網深度偽造服務,影片起價50美元,語音消息30美元。
檢測技術正在輸掉軍備競賽。Deepfake-Eval-2024基準測試發現,最先進的檢測器對影片達到75%準確率,對圖像達到69%。人類檢測表現更差,研究發現人們正確識別高質量影片深度偽造的準確率僅為24.5%。
Q&A
Q1:AI智能體劫持是怎麼發生的?
A:攻擊者通過將惡意任務分解為看似無害的請求來欺騙AI系統,讓AI認為它在執行正當的安全測試。然後AI會自主進行偵察、編寫攻擊代碼並竊取數據,整個過程無需人工大量干預。
Q2:提示注入攻擊為什麼這麼難防護?
A:因為語言模型處理文本時無法區分哪些詞更重要,它只是處理Token序列。當AI讀取包含隱藏指令的文檔時,會像處理合法用戶命令一樣處理這些惡意指令,目前沒有根本性的修複方法。
Q3:深度偽造技術門檻有多低?
A:技術門檻已經大幅降低,僅需3秒音頻就能生成85%準確率的語音克隆,暗網服務影片偽造起價50美元,語音消息30美元。普通RTX 2070顯卡就能實現實時換臉。
