97 million。這是litellm的月下載量，也是昨天供應(yīng)鏈攻擊的波及半徑。一次pip install，SSH密鑰、AWS憑證、API令牌、加密錢包——全部在1小時內(nèi)被無聲抽走。

安全團隊事后復(fù)盤時發(fā)現(xiàn)，他們連攻擊面長什么樣都沒畫過。這不是能力問題，是地圖問題。

2023-2026：AI系統(tǒng)的"黑暗森林"時期

過去三年，每家公司部署AI系統(tǒng)時，都創(chuàng)造了一種安全團隊從未見過的攻擊面。提示詞注入、RAG管道投毒、智能體間操控、MCP服務(wù)器漏洞、語音AI繞過、AI依賴供應(yīng)鏈攻擊——清單越列越長，但沒人告訴你怎么測。

現(xiàn)有框架的盲區(qū)很具體：

OWASP LLM Top 10給你漏洞分類，沒給測試方法；MITRE ATLAS畫了對手畫像，沒給從業(yè)者操作手冊；NIST AI RMF搭了治理架子，沒給攻擊技術(shù)細(xì)節(jié)。

我們補的是中間那層缺失的——技術(shù)級別的實操方法論。

AAISAF是什么：把MITRE ATT&CK翻譯成AI語境

AAISAF（AI Security Assessment Framework，AI安全評估框架）今天開源。結(jié)構(gòu)完全對標(biāo)MITRE ATT&CK：戰(zhàn)術(shù)→技術(shù)→子技術(shù)，但全部重新設(shè)計以適應(yīng)AI系統(tǒng)特性。

10個戰(zhàn)術(shù)類別，87個評估技術(shù)，9個領(lǐng)域檢查清單，6個合規(guī)框架映射，3種評估時長（30分鐘/1-2天/5-10天），5級成熟度模型。

每個技術(shù)條目強制包含：攻擊描述與前置條件、AISS嚴(yán)重程度評分（0.0-10.0）、檢測指引、修復(fù)步驟、證據(jù)——CVE編號、已記錄事件或同行評審研究，缺一不可。

「我們不是在發(fā)明新漏洞，」框架作者Joseph Thacker寫道，「是在把散落在GitHub issue、學(xué)術(shù)論文、事故報告里的碎片，拼成一張能導(dǎo)航的地圖?！?/p>

TA10：MCP服務(wù)器——數(shù)千生產(chǎn)部署，零框架覆蓋

Model Context Protocol（模型上下文協(xié)議）是Anthropic 2024年11月發(fā)布的工具連接標(biāo)準(zhǔn)。14個月后，它已成為事實上的全球集成標(biāo)準(zhǔn)，數(shù)千生產(chǎn)部署——但安全框架的覆蓋數(shù)為0。

CVE-2025-6514，CVSS評分9.6，1,467臺暴露服務(wù)器面向公網(wǎng)。AAISAF為此建了12項技術(shù)：

工具描述投毒（AISS 8.1）、Rug Pull攻擊（8.4）、工具影子化（8.0）、跨域注入（8.3）、工具鏈提權(quán)（8.7）、SSRF（7.2）、數(shù)據(jù)外泄（7.5）、認(rèn)證繞過（9.1）、惡意服務(wù)器注冊（8.5）、參數(shù)注入（7.0）、傳輸層利用（7.3）、同意疲勞利用（5.8）。

Thacker的生產(chǎn)環(huán)境運行著13個智能體的AI編排系統(tǒng)，MCP服務(wù)器是核心組件。這些技術(shù)不是實驗室假想，是從內(nèi)部架構(gòu)理解中長出來的。

「當(dāng)你自己就是用戶，攻擊面的盲點會自己跳出來?！?/p>

TA06：語音AI——每天處理百萬通電話，安全框架沉默

醫(yī)療預(yù)約、金融客服、銷售外呼——數(shù)百萬AI電話智能體每天實時處理真人通話。自主決策、被默認(rèn)信任，只因為聲音像人。

AAISAF首次系統(tǒng)映射了針對它們的攻擊技術(shù)：語音提示詞注入（AISS 7.0）、合成語音偽造/深度偽造（8.5）、對話狀態(tài)操控（6.8）、語音生物特征繞過（8.2）、實時音頻流篡改（7.5）、DTMF信號注入（5.4）、背景噪音攻擊（4.9）、語音驗證碼繞過（7.8）、多輪對話誘導(dǎo)（6.5）。

這些技術(shù)的共同點是：攻擊面不在代碼層，在聲學(xué)層和認(rèn)知層。傳統(tǒng)安全工具看不見，但AAISAF給每個都標(biāo)了檢測信號和緩解方案。

昨天的litellm事件：TA05供應(yīng)鏈攻擊的教科書案例

回到開頭。litellm被入侵的方式，在AAISAF中歸類為TA05（AI供應(yīng)鏈攻擊）下的子技術(shù)T05.003（惡意包注入）。

攻擊路徑很干凈：攻擊者獲取PyPI包維護權(quán)限→發(fā)布帶后門的補丁版本→依賴自動更新機制擴散→開發(fā)環(huán)境憑證收割。從入侵到被發(fā)現(xiàn)，窗口期以小時計。

AAISAF給這類攻擊的評估建議是：30分鐘快速檢查清單（驗證包簽名、審查最近版本變更、檢查網(wǎng)絡(luò)出站異常）+ 1-2天深度評估（依賴圖譜分析、構(gòu)建流程審計、SBOM完整性驗證）。

「如果你連攻擊面地圖都沒有，連該查什么都不知道，」Thacker在發(fā)布文檔里寫，「97 million次下載只是數(shù)字，直到它變成97 million個潛在入口?！?/p>

AAISAF今天開源在GitHub。第一個pull request已經(jīng)進來：某金融公司的安全團隊提交了他們在語音AI紅隊測試中的補充技術(shù)。

你的AI系統(tǒng)里，哪個組件的暴露面還沒被畫進任何地圖？