AI 企业 Anthropic 于 2026 年 6 月 3 日(当地时间)公布了一项关于“AI 被用于网络攻击”的调查结果。研究团队选取了 2025 年 3 月至 2026 年 3 月期间,因恶意网络活动而被停止服务的 832 个 Claude 相关账号,并将攻击者的行为映射到 MITRE ATT&CK 框架进行分析。
MITRE ATT&CK 是一个系统化整理网络攻击战术与技术的知识框架。Anthropic 此次共分析了 13,873 条观测到的攻击行为,以及 482 项独立的子技术。样本仅限于那些能够获取到足够信息、可以对攻击手法进行细致评估的案例。
调查显示,攻击者不仅在恶意软件开发、代码混淆等“攻击准备阶段”大量使用 AI,还开始在入侵成功之后,将 AI 用于账号与资产探索、横向移动、权限提升等更复杂的攻击环节。随着 AI 被用来“串联”各个攻击步骤,传统以单一技术或单一阶段为中心的威胁评估方法,越来越难以完整反映真实风险。
恶意软件开发最常见:560 起案例涉及 AI 生成或改造恶意代码
在所有 AI 滥用行为中,最突出的是“攻击能力开发”。在 832 起案例中,有 574 起(约占 69%)被归类为 MITRE ATT&CK 中的“Develop Capabilities(能力开发)”。其中绝大多数——560 起——都涉及利用 AI 开发或改造恶意软件。
这些攻击者会让模型生成定制脚本、实现 DLL 注入、编写用于规避检测的代码等。同时,代码混淆、本地系统数据收集、防御功能禁用等用途也非常常见。就当前情况来看,AI 滥用的重心仍主要集中在攻击前的准备工作。
不过,在调查期的后半段,攻击行为的重心出现了明显变化:账号与资产探索相关行为的出现率上升了 8.9%,自动化数据外流增加了 6.2%;相对地,“能力开发”相关行为下降了 12%,钓鱼攻击相关行为下降了 8.6%。这表明,攻击者正在从“只用 AI 生成单一恶意程序”,转向在真实攻击过程中,借助 AI 执行更多具体操作。
中高风险攻击者占比从 33% 升至 56%
Anthropic 在本次研究中引入了自研的风险评估方法——AI Risk Enablement Score(ARiES)。ARiES 综合考量攻击者的威胁画像、模型对有害行为的实际助力程度,以及已观测到或可预期的影响,用以衡量“AI 在多大程度上增强了攻击者的能力”。
根据 ARiES 评估结果,在调查期前半段,被划分为“中风险及以上”的攻击者约占 33%;而在后半段,这一比例上升到了约 56%。Anthropic 指出,这一变化可能部分源于检测技术的改进,但更重要的信号是:越来越多攻击者开始依赖模型在网络内部执行更具“运维性质”的操作,而不仅仅是生成代码。
风险升级的关键:AI 被用于“入侵之后”的操作
研究中最值得关注的一点,是风险高低并不单纯取决于攻击者使用了多少种 AI 技术,而在于 AI 被用在攻击链的哪一个阶段。
例如,仅有 54 名攻击者(约占 6.5%)在“横向移动”阶段使用了 AI。但这部分攻击者的平均风险得分高达 56.4,明显高于整体平均值 46.8。Anthropic 指出,“是否在横向移动阶段使用 AI”是识别高风险攻击者的最强信号之一。
高风险攻击者往往会在以下“入侵后”环节大量调用 AI: - 利用远程服务在网络内部横向扩散; - 窃取和滥用认证凭据; - 部署和管理 Web Shell; - 探索内部网络结构与账号体系等。
这些操作传统上需要较高的技术门槛和丰富的实战经验,而 AI 的介入正在显著降低门槛。Anthropic 还强调,仅凭攻击者自身的技术水平、使用技术的数量,或其使用 Claude Code、API、聊天界面等不同接入方式,已经不足以准确判断风险等级。随着 AI 能够代替人类执行越来越多复杂任务,攻击者的个人熟练度与攻击本身的危险程度之间,正在逐渐“脱钩”。
从“代码生成工具”走向“自动化攻击流程”:Scaffolding 的作用
Anthropic 认为,未来一个愈发关键的概念是“scaffolding(脚手架)”。这里指的是围绕 AI 模型搭建的代码、工具和系统架构。攻击者一旦将这些要素组合起来,AI 就不再只是一个代码生成助手,而会演变为可以串联多个攻击步骤、自动推进攻击流程的核心组件。
在 Anthropic 于 2025 年 11 月公开的一次网络间谍活动分析中,研究人员就发现攻击者将 Claude Code 与 Kali Linux 环境、MCP 服务器结合使用,让系统按既定流程自动执行侦察、漏洞利用、横向移动、数据收集等一整套操作。
本次调查进一步表明,AI 驱动的网络攻击不仅在“自动化程度”上不断提高,而且正从单一阶段扩展到入侵后的探索与横向扩散等高危环节。攻击执行速度与传统威胁分类框架之间的“错位”,正在形成新的安全风险。
