11月中旬，AI公司Anthropic發(fā)布了一份聽(tīng)起來(lái)很嚇人的報(bào)告（《阻斷首個(gè)AI編排的網(wǎng)絡(luò)間諜活動(dòng)》）：他們聲稱抓到了一個(gè)黑客組織，利用Claude AI工具對(duì)全球30家企業(yè)發(fā)動(dòng)了自動(dòng)化攻擊。更勁爆的是，報(bào)告說(shuō)這些攻擊有80-90%是AI自主完成的，幾乎不需要人工干預(yù)。

《華爾街日?qǐng)?bào)》和《紐約時(shí)報(bào)》很快跟進(jìn)報(bào)道，渲染"AI黑客時(shí)代"的到來(lái)。但在網(wǎng)絡(luò)安全圈，反應(yīng)卻截然不同。

一位安全行業(yè)的專業(yè)人士djnn.sh發(fā)表了一篇博文《Anthropic的報(bào)告聞起來(lái)就像狗屁》（Anthropic’s paper smells like bullshit），迅速成為HackerNews上的熱門討論帖。他用行業(yè)標(biāo)準(zhǔn)逐條拆解了這份報(bào)告，揭示出一個(gè)尷尬的事實(shí)：這更像是一場(chǎng)精心策劃的營(yíng)銷活動(dòng)，而不是一份嚴(yán)肅的技術(shù)報(bào)告。

一份"空心"的威脅報(bào)告

djnn開(kāi)門見(jiàn)山地指出，在網(wǎng)絡(luò)安全行業(yè)，威脅情報(bào)報(bào)告有一套嚴(yán)格的規(guī)范。簡(jiǎn)單說(shuō)，就是要給出"證據(jù)"——讓其他安全團(tuán)隊(duì)能夠根據(jù)你的報(bào)告，在自己的網(wǎng)絡(luò)里查找攻擊痕跡，判斷是否也遭到了類似攻擊。

一份合格的報(bào)告應(yīng)該包含什么？

• IOCs（威脅指標(biāo)）：攻擊者使用的域名、IP地址、惡意文件的哈希值

• 具體工具：用了什么黑客工具？什么版本？

• 攻擊手法：怎么入侵的？利用了哪些漏洞？

• 時(shí)間線：什么時(shí)候發(fā)現(xiàn)的？攻擊持續(xù)了多久？

• 防御建議：如何檢測(cè)和防范類似攻擊？

djnn舉了個(gè)例子：法國(guó)CERT（計(jì)算機(jī)應(yīng)急響應(yīng)小組）發(fā)布的APT28報(bào)告，詳細(xì)列出了釣魚郵件地址、源IP、使用的VPN工具，甚至攻擊的具體時(shí)間節(jié)點(diǎn)。任何一個(gè)安全團(tuán)隊(duì)拿到這份報(bào)告，都能立刻去查自己的日志，看看有沒(méi)有中招。這是威脅情報(bào)共享的行業(yè)標(biāo)準(zhǔn)。

那Anthropic的報(bào)告呢？

djnn翻遍了整份文檔，發(fā)現(xiàn)：一個(gè)IOC都沒(méi)有。

沒(méi)有域名，沒(méi)有IP地址，沒(méi)有文件哈希，什么實(shí)質(zhì)性的技術(shù)信息都沒(méi)有。報(bào)告里充斥著"高度復(fù)雜"、"專業(yè)協(xié)調(diào)"這樣的形容詞，但就是不告訴你具體是什么。

比如報(bào)告說(shuō)：“Claude在目標(biāo)網(wǎng)絡(luò)中執(zhí)行系統(tǒng)化的憑證收集，涉及查詢內(nèi)部服務(wù)、提取身份驗(yàn)證證書?！?/p>

聽(tīng)起來(lái)很厲害。但djnn的質(zhì)疑很直接： 怎么做的？ 用的是Mimikatz這種憑證竊取工具嗎？攻擊的是云環(huán)境還是本地網(wǎng)絡(luò)？什么系統(tǒng)受影響了？

報(bào)告對(duì)這些關(guān)鍵問(wèn)題統(tǒng)統(tǒng)不提。

還有那個(gè)著名的"80-90%自動(dòng)化"——這個(gè)數(shù)字怎么算出來(lái)的？什么叫"自動(dòng)化"？是AI寫了自動(dòng)化腳本，還是AI真的在做決策？報(bào)告沒(méi)說(shuō)。

更尷尬的是，Anthropic還悄悄改了一處描述。最初他們說(shuō)攻擊達(dá)到了"每秒數(shù)千次請(qǐng)求"，后來(lái)這句話被改成了"數(shù)千次請(qǐng)求，通常每秒多次"——意思完全不一樣了。

djnn特別指出了報(bào)告中一句模糊的表述：“我們通知了相關(guān)當(dāng)局和行業(yè)合作伙伴，并在適當(dāng)?shù)那闆r下與受影響的實(shí)體分享了信息?！?/p>

他的反問(wèn)很有力：“這到底是什么意思？你們聲稱在多個(gè)服務(wù)中發(fā)現(xiàn)了可利用的漏洞，這些漏洞修補(bǔ)了嗎？被竊取的數(shù)據(jù)呢？受影響的用戶呢？你們關(guān)心這些問(wèn)題嗎？”

HackerNews：專業(yè)人士的吐槽大會(huì)

當(dāng)這份報(bào)告被發(fā)到HackerNews上，技術(shù)社區(qū)炸了鍋。一群真正懂行的人開(kāi)始逐條拆解這份報(bào)告。

“我們也用過(guò)AI做安全測(cè)試，沒(méi)那么神”

一位自稱在大型科技公司工作過(guò)的工程師說(shuō)：“我們當(dāng)時(shí)被要求用一個(gè)專門優(yōu)化過(guò)的AI模型來(lái)做滲透測(cè)試，目標(biāo)是個(gè)模擬打印機(jī)和Linux服務(wù)器。說(shuō)實(shí)話，AI確實(shí)有點(diǎn)用，但也就那樣。特別是在復(fù)雜的攻擊協(xié)調(diào)上，根本看不出能有多大作用。”

他還提出了一個(gè)實(shí)際問(wèn)題：“Claude的API要綁信用卡付費(fèi)的，黑客用這種公開(kāi)系統(tǒng)來(lái)搞命令控制，不怕被追蹤嗎？”

另一位正在創(chuàng)業(yè)做自動(dòng)化滲透測(cè)試工具的人則更樂(lè)觀：“現(xiàn)在的AI模型確實(shí)比以前強(qiáng)多了。我們從Llama 3.1用到Claude 4.5，進(jìn)步很明顯。有一次我們的beta測(cè)試者在一個(gè)500個(gè)IP的Active Directory網(wǎng)絡(luò)里測(cè)試，AI一小時(shí)就拿到了域管理員權(quán)限?！?/p>

但他也承認(rèn)關(guān)鍵問(wèn)題：“ AI最大的毛病是愛(ài)吹牛。 它會(huì)說(shuō)自己拿到了某些憑證，結(jié)果根本用不了；或者聲稱發(fā)現(xiàn)了機(jī)密信息，其實(shí)只是公開(kāi)資料。這個(gè)問(wèn)題到現(xiàn)在都沒(méi)解決?！?/p>

“自動(dòng)化攻擊不是新鮮事”

好幾個(gè)老安全人指出，報(bào)告宣稱的"首次大規(guī)模自動(dòng)化攻擊"根本站不住腳。

"90年代的腳本小子就在搞自動(dòng)化攻擊了。Metasploit這種自動(dòng)化滲透測(cè)試框架都存在二十多年了。"有人說(shuō)，“報(bào)告里描述的那些東西——網(wǎng)絡(luò)掃描、漏洞利用、憑證竊取——全都有現(xiàn)成的開(kāi)源工具。哪一步是只有AI才能做的？一個(gè)都沒(méi)有?！?/p>

網(wǎng)絡(luò)安全研究員Kevin Beaumont更直接：“這份報(bào)告完全沒(méi)有IOCs，強(qiáng)烈暗示他們不想在技術(shù)細(xì)節(jié)上被人質(zhì)疑。這就是用一堆開(kāi)源攻擊工具拼湊出來(lái)的東西。”

“為什么AI給黑客的答復(fù)率這么高？”

還有一個(gè)有趣的吐槽來(lái)自安全公司Phobos Group的創(chuàng)始人Dan Tentler：

“我不相信攻擊者能讓AI乖乖干活，成功率還高達(dá)90%。我們這些正常用戶天天被AI拒絕服務(wù)，或者得到一堆廢話。為什么攻擊者用AI就這么順利？是他們有什么魔法嗎？”

這個(gè)質(zhì)疑道出了很多人的疑惑：如果AI的安全機(jī)制這么容易被繞過(guò)，為什么日常使用時(shí)這些機(jī)制又顯得這么嚴(yán)格？

Anthropic自己的報(bào)告里其實(shí)也承認(rèn)了：“Claude經(jīng)?？浯蟀l(fā)現(xiàn)，有時(shí)甚至編造數(shù)據(jù)。它可能聲稱獲取了某些憑證，但這些憑證實(shí)際上無(wú)法使用；或者聲稱發(fā)現(xiàn)了關(guān)鍵信息，結(jié)果只是一些公開(kāi)可訪問(wèn)的內(nèi)容?！?/p>

這段話讓很多人困惑：既然AI有這么明顯的問(wèn)題，那80-90%的自動(dòng)化率是怎么算出來(lái)的？

Anthropic的真實(shí)目的：賣產(chǎn)品

讀到報(bào)告結(jié)尾，djnn發(fā)現(xiàn)了一個(gè)有趣的段落：

“網(wǎng)絡(luò)安全社區(qū)需要認(rèn)識(shí)到發(fā)生了根本性變化：安全團(tuán)隊(duì)?wèi)?yīng)該嘗試將AI應(yīng)用于防御領(lǐng)域，例如SOC自動(dòng)化、威脅檢測(cè)、漏洞評(píng)估和事件響應(yīng)…”

等等，誰(shuí)在賣AI安全產(chǎn)品？答案是：Anthropic自己。

這就有意思了。先發(fā)布一份聳人聽(tīng)聞的報(bào)告，說(shuō)AI黑客多么可怕，然后告訴你：要用AI來(lái)對(duì)抗AI，而我們正好有這個(gè)產(chǎn)品。

djnn在博客里寫道：“這不是威脅情報(bào)報(bào)告，這是一份包裝精美的產(chǎn)品廣告。制造恐慌，然后推銷解決方案——這套路在安全行業(yè)不新鮮，但做得這么明顯的還真不多見(jiàn)?！?/p>

Berryville IML的研究人員在另一篇評(píng)論文章中也指出了同樣的問(wèn)題：“如果報(bào)告沒(méi)有給出任何關(guān)于TTPs和檢測(cè)的細(xì)節(jié)，那這份報(bào)告的目的到底是什么？答案就在報(bào)告結(jié)尾那段話里——推銷AI防御產(chǎn)品。”

一個(gè)安全研究員的憤怒

djnn在文章最后說(shuō)得很清楚：“很可能確實(shí)有黑客在用AI工具，這沒(méi)人否認(rèn)。但這不意味著我們可以接受沒(méi)有證據(jù)的報(bào)告?！?/p>

他強(qiáng)調(diào)：“在任何嚴(yán)肅的領(lǐng)域，你不能光提出一個(gè)驚人的說(shuō)法，然后拒絕給證據(jù)。 威脅情報(bào)報(bào)告不是營(yíng)銷材料。 它承載著幫助全球安全團(tuán)隊(duì)防御真實(shí)威脅的責(zé)任。當(dāng)這個(gè)工具被用作營(yíng)銷手段時(shí)，不僅傷害了行業(yè)的專業(yè)性，也會(huì)讓真正重要的安全警告失去公信力。”

“如果Anthropic愿意公開(kāi)完整的技術(shù)細(xì)節(jié)和IOCs，我很樂(lè)意在博客上更正我的判斷。但在那之前，我的結(jié)論是：這份報(bào)告無(wú)法通過(guò)任何嚴(yán)肅的技術(shù)審查。”

djnn的批評(píng)尤其嚴(yán)厲的一點(diǎn)是關(guān)于歸因問(wèn)題。報(bào)告聲稱將攻擊歸因于特定的國(guó)家級(jí)威脅組織，但沒(méi)有提供任何歸因依據(jù)——是哪個(gè)APT組織？什么技術(shù)特征幫助做出這個(gè)判斷？

“歸因是一件非常嚴(yán)肅的事情，可能產(chǎn)生外交影響。你不能在沒(méi)有充分證據(jù)的情況下，隨意指向某個(gè)國(guó)家。就現(xiàn)有證據(jù)來(lái)看，我們甚至無(wú)法排除這只是一群使用開(kāi)源工具的初級(jí)攻擊者?！?/p>

他在文章結(jié)尾寫道：

“歸根結(jié)底， 這份報(bào)告就是一次可悲的產(chǎn)品推銷嘗試，不應(yīng)該被當(dāng)作其他任何東西。 這是可恥的，極其不專業(yè)的。為了多賣一點(diǎn)產(chǎn)品而無(wú)視基本職業(yè)操守的做法，讓我永遠(yuǎn)不想使用他們的產(chǎn)品。做得更好一點(diǎn)吧?！?/p>

HackerNews上的討論最終達(dá)成了一個(gè)基本共識(shí)：AI確實(shí)在改變網(wǎng)絡(luò)安全的游戲規(guī)則，攻擊者確實(shí)在嘗試使用AI工具。但Anthropic這份報(bào)告的問(wèn)題在于，它用一個(gè)缺乏證據(jù)的驚人聲明來(lái)推銷產(chǎn)品，而不是真誠(chéng)地分享威脅情報(bào)。

正如djnn所說(shuō)：“我們需要基于事實(shí)的證據(jù)，需要能夠驗(yàn)證的信息。否則，任何人都可以說(shuō)任何話，只要加上’這可能正在發(fā)生’的前提。但這還不夠好，遠(yuǎn)遠(yuǎn)不夠?！?/p>

在AI重塑各個(gè)行業(yè)的當(dāng)下，這個(gè)案例提醒我們： 不是所有頭部AI公司說(shuō)的話都是真理。 當(dāng)一個(gè)驚人的說(shuō)法出現(xiàn)時(shí)，問(wèn)一句"證據(jù)在哪里"，永遠(yuǎn)不會(huì)錯(cuò)。

本文主要內(nèi)容編譯自安全研究員djnn.sh的博客文章《Anthropic's paper smells like bullshit》，并綜合了HackerNews社區(qū)的技術(shù)討論。

編譯：周華香