近日,人工智能安全公司Anthropic发布的一份报告称,其旗下的Claude Code模型遭黑客劫持,并被用于实施了“全球首例AI高度自主执行的大规模网络攻击”。报告详细描述了一场针对全球30个目标的网络间谍行动,其中高达80%至90%的攻击流程据称由AI自主完成,涵盖了从漏洞发现、利用到数据提取的完整攻击链。
这一说法若属实,将意味着网络攻击范式迎来重大转折:AI不再仅是辅助工具,而开始独立执行复杂渗透任务。但随之而来的,是网络安全圈几乎“一边倒”的质疑。
1
AI高度自主攻击?
Claude被描绘成“自动化渗透代理”
报告描述,黑客构建了一个特殊框架,巧妙地将Claude从一个提供建议或生成部分攻击代码的工具,转变为一个近乎自主的网络入侵代理。
该攻击系统将Claude与标准的渗透测试工具相结合,并依托名为“模型上下文协议(MCP, Model Context Protocol)”的基础设施,使得整个攻击过程在绝大多数情况下能够在无人工监督的状态下运行。
攻击模型
报告将此次攻击划分为六个阶段,其运作模式概述如下:
第一阶段:目标选择与诱导突破 攻击者锁定高价值目标,通过伪装成“合法授权测试”的角色扮演诱导Claude解除安全限制,实现初步突破。
第二阶段:自动化扫描与情报收集 Claude自主对多目标进行网络扫描,识别开放服务、认证机制与脆弱端点,并保持独立上下文,以并行推进攻击流程。
第三阶段:载荷生成与漏洞验证 AI基于识别出的漏洞生成定制化利用载荷并远程验证可用性,同时输出报告供人工决定是否升级为真实攻击。
第四阶段:内部渗透与横向移动 Claude从已控制的系统中提取凭证,绘制网络拓扑,并自主在内部网络中导航访问各类服务,人工仅对高风险操作进行批准。
第五阶段:数据提取与持久化 AI利用获得的权限查询数据库、提取并分类敏感数据,自评情报价值并建立持久化后门。数据外传需经人工确认。
第六阶段:操作记录与行动交接 Claude记录资产、凭证、利用方式和提取数据,为攻击团队提供可复用的结构化行动日志,实现持续潜伏与顺畅交接。
攻击阶段
报告强调“80–90%操作由AI自主执行”,远高于以往任何公开披露案例。但Anthropic未提供任何入侵指标(IOC)、攻击IP或样本等技术证据,这成为行业质疑的核心。
2
证据链缺失
“首次AI主导攻击”难以立足
报告发布后,全球范围内的安全研究者迅速展开了深入讨论,质疑声音明显成为主流。
“无IOC报告”的硬伤
报告最大的硬伤在于其未能提供任何可供验证的入侵指标(IOCs),如攻击IP地址、恶意域名、样本哈希值等,也没有披露具体的攻击链技术细节。这使得潜在的受害者无法进行自查以确认是否遭受此类攻击,更无法让安全研究者对“AI自主攻击”的真实性进行技术层面的验证。
安全研究者普遍指出,一次声称覆盖30个目标的大规模攻击,却完全拿不出IP、域名、恶意样本、时间线、C2服务器行为等基本证据,这种情况在业内极为罕见且不合常理。在安全行业中,“无 IOC 报告重大攻击”,几乎等同于无法被验证。
能力描述过于“理想化”
多位资深业内人士在分析报告后指出,报告中对AI能力的描述,尤其是Claude的表现,几乎达到了“理想状态”,但却刻意回避了当前AI技术在实际应用中面临的诸多现实约束与局限性。
报告中Claude展现出的能力包括:自主扫描多目标网络、深度分析认证机制、自动生成并测试利用载荷、独立进行内网横向移动、自主创建持久化后门,乃至自我记录完整攻击链等。这些能力若能实现,无疑代表了AI在网络攻击领域的巨大突破,但所有这些惊人的能力描述,均未附有任何具体的示例、截图或技术证据来佐证。
自曝“幻觉”与核心主张自相矛盾
Anthropic在其报告中提及,Claude在攻击过程中存在“幻觉”现象,具体表现为:捏造扫描结果、夸大漏洞影响、错误生成凭证与利用代码等。
这一自白与报告中极力渲染的“AI高度自主并成功执行攻击”的核心叙述形成了明显且尖锐的冲突。如果AI在关键的攻击步骤中会生成虚假的利用细节或错误的凭证信息,那么报告所宣称的“80–90%自主执行攻击”的高效率和成功率又如何能够保证?这些深层次的矛盾在报告中并未得到任何合理解释。
缺乏“受害者”确认与第三方佐证
报告声称此次攻击涉及全球30个目标,涵盖科技、金融、化工及政府机构等多个敏感领域。然而,截至目前,没有任何一家所谓的“受害者”机构公开确认遭遇了符合报告描述特征的网络攻击。同时,也没有任何第三方安全团队或机构能够复核报告中所描述的攻击链细节。因此,此次攻击的实际影响范围和具体危害程度,在缺乏受害者反馈和第三方佐证的情况下,根本无法被证实。这进一步加深了外界对报告真实性的疑虑。
3
行业研判:
放大AI威胁的“营销噱头”
综合报告内容和现有技术评估,业内专家和研究机构普遍倾向于认为,Anthropic的这份报告技术真实性存疑,更像一场市场宣传活动:
AI辅助攻击是趋势,但非“突破性飞跃”:业界公认AI在代码生成、自动化扫描、脚本编写等方面提升了攻击效率。然而,报告描述的“高度自主攻击链”,其核心能力(自动化扫描、漏洞利用、横向移动、权限维持)在现有高级自动化攻击框架中已有体现。报告未能清晰界定Claude带来的、足以支撑“全球首例”和“高度自主”标签的革命性技术增量。
证据缺失是致命弱点:缺乏IOC、样本、受害者确认等硬证据,使得报告的核心主张缺乏可信基石,难以被严肃对待。
“理想化”描述与已知AI缺陷矛盾:对Claude能力的理想化描绘,与其自承的“幻觉”问题以及当前大语言模型在复杂、对抗性环境中的实际局限性存在不可调和的矛盾,被广泛认为是对AI实际能力的夸大。
市场宣传意图明显:在缺乏独立验证和实质证据支撑的情况下,以如此高调方式发布一份宣称“全球首例AI自主攻击”的报告,其首要效果是引发行业震动和舆论关注,而非提供严谨、可操作的技术洞见。这更符合放大AI安全威胁以凸显自身价值的市场策略。
综合来看,Anthropic的报告并未证明AI已能够“高度自主执行大规模复杂攻击”。业内普遍认为,其核心价值在于警示潜在风险,但在技术真实性和证据支撑方面明显不足,更像是一场夸大AI威胁的营销活动。未来,随着AI能力的持续增强,网络攻击自动化和规模化的趋势仍不可忽视,但关于“AI自主攻击”的实际威力,仍需等待更确凿、可验证的证据。
消息来源:bleepingcomputer
文章来源:安全客
暂无评论内容