根據(jù)IBM X-Force威脅情報部門的最新研究報告，網(wǎng)絡(luò)安全領(lǐng)域正在出現(xiàn)一個值得關(guān)注的趨勢逆轉(zhuǎn)。研究人員發(fā)現(xiàn)，通過利用面向公眾的應(yīng)用程序漏洞發(fā)起的網(wǎng)絡(luò)攻擊增長了44%，大幅超過了憑據(jù)濫用攻擊的增長速度。

近年來，網(wǎng)絡(luò)安全社區(qū)流傳著一句話："攻擊者不會入侵云端，他們會直接登錄"，這反映了通過網(wǎng)絡(luò)釣魚或竊取憑據(jù)發(fā)起攻擊的激增趨勢。合法登錄意味著威脅行為者無需使用寶貴的零日漏洞，并且可以將攻擊偽裝成日?；顒樱x擇阻力最小的路徑來獲取利益。

盡管有效賬戶的濫用仍占X-Force數(shù)據(jù)中案例的近三分之一，但最新報告顯示，漏洞利用正在威脅行為者中重新興起。研究人員聲稱，漏洞利用在去年跟蹤的事件中占據(jù)了40%的初始訪問載體。

更重要的是，該團(tuán)隊表示人工智能工具可能正在推動這一趨勢，使攻擊者更容易尋找配置錯誤、未受保護(hù)或存在漏洞的應(yīng)用程序。他們強(qiáng)調(diào)，這突出了對更強(qiáng)訪問控制、嚴(yán)格補(bǔ)丁管理和安全部署實(shí)踐的迫切需求。

IBM全球網(wǎng)絡(luò)安全服務(wù)管理合伙人馬克·休斯表示："攻擊者并非在重新發(fā)明攻擊手冊，而是在用AI加速執(zhí)行。核心問題依然相同：企業(yè)被軟件漏洞壓垮了?，F(xiàn)在的不同之處在于速度。由于許多漏洞不需要憑據(jù)，攻擊者可以繞過人工操作，直接從掃描階段跳到造成影響。"

休斯補(bǔ)充道："安全領(lǐng)導(dǎo)者需要轉(zhuǎn)向更主動的方法，使用智能體驅(qū)動的威脅檢測和響應(yīng)來識別漏洞，在威脅升級之前抓住它們。"

X-Force表示，其滲透測試仍然揭示了軟件配置和憑據(jù)管理方面的"持續(xù)弱點(diǎn)"，配置錯誤的訪問控制是各個領(lǐng)域的常見入口點(diǎn)。

人工智能為防御者帶來多重挑戰(zhàn)

然而，這并不意味著憑據(jù)盜竊作為初始訪問載體有所減少。實(shí)際上，X-Force報告還識別出了圍繞AI的身份問題，特別是在一些面向公眾的熱門生成式AI服務(wù)方面。

研究人員發(fā)現(xiàn)，2025年有超過30萬個ChatGPT憑據(jù)因信息竊取惡意軟件的使用而暴露，這表明主要AI平臺面臨著與核心企業(yè)軟件即服務(wù)解決方案相同級別的風(fēng)險。

報告指出，被入侵的AI聊天機(jī)器人憑據(jù)不僅僅是訪問個人賬戶那么簡單——它們可能被進(jìn)一步濫用來操縱輸出、注入惡意提示，最令企業(yè)安全團(tuán)隊擔(dān)憂的是，可能導(dǎo)致敏感數(shù)據(jù)外泄。

X-Force表示，這突出了安全領(lǐng)導(dǎo)者評估其組織AI使用情況的明確需求，特別是對公共服務(wù)的影子使用，并圍繞此制定更嚴(yán)格的政策。

與許多其他市場觀察者的發(fā)現(xiàn)一致——他們都在每年這個時候發(fā)布類似報告——X-Force部門還觀察到活躍的勒索軟件組織比去年同期增加了49%，其中許多規(guī)模較小的臨時運(yùn)營商運(yùn)行著低容量的攻擊活動，這在一定程度上使歸因變得復(fù)雜。

這一趨勢部分也由AI推動，AI在自動化勒索軟件操作中發(fā)揮著越來越重要的外圍作用。展望未來，X-Force表示預(yù)期勒索軟件團(tuán)伙將把更多任務(wù)（如偵察和高級攻擊）交給日趨成熟的AI模型。

Q&A

Q1：為什么應(yīng)用程序漏洞攻擊會重新興起？

A：根據(jù)IBM X-Force的研究，人工智能工具使攻擊者更容易尋找配置錯誤、未受保護(hù)或存在漏洞的應(yīng)用程序。由于許多漏洞不需要憑據(jù)，攻擊者可以繞過人工操作，直接從掃描階段跳到造成影響，大大提高了攻擊速度。

Q2：ChatGPT等AI服務(wù)面臨哪些安全風(fēng)險？

A：研究發(fā)現(xiàn)超過30萬個ChatGPT憑據(jù)因信息竊取惡意軟件而暴露。被入侵的AI聊天機(jī)器人憑據(jù)可能被濫用來操縱輸出、注入惡意提示，最嚴(yán)重的是可能導(dǎo)致敏感數(shù)據(jù)外泄，這對企業(yè)安全構(gòu)成重大威脅。

Q3：企業(yè)應(yīng)該如何應(yīng)對AI時代的網(wǎng)絡(luò)安全挑戰(zhàn)？

A：安全專家建議企業(yè)轉(zhuǎn)向更主動的方法，使用智能體驅(qū)動的威脅檢測和響應(yīng)系統(tǒng)來識別漏洞。同時需要加強(qiáng)訪問控制、嚴(yán)格補(bǔ)丁管理、評估組織的AI使用情況，特別是對公共AI服務(wù)的影子使用，并制定更嚴(yán)格的安全政策。