摘要：当前人工智能领域最热门的话题莫过于 AI 智能体，这些具备自主决策能力的 AI 不仅能理解自然语言指令，更能像人类助理一样完成复杂任务，从协调多部门会议、自动比价网购，到直接接管用户电脑修改系统设置。

当前人工智能领域最热门的话题莫过于 AI 智能体，这些具备自主决策能力的 AI 不仅能理解自然语言指令，更能像人类助理一样完成复杂任务，从协调多部门会议、自动比价网购，到直接接管用户电脑修改系统设置。

正如一枚硬币有正反两面，AI 智能体强大的自主性或许将重塑网络安全格局。

这些让 AI 智能体变身“超级助理”的能力就像一把双刃剑，同样也会使其化身网络罪犯的“得力助手”，变成实施网络攻击的利器。

它们可以像人类黑客一样扫描和锁定系统漏洞、劫持目标设备，还能通过自然语言交互骗取用户信任，悄无声息地窃取敏感数据。更可怕的是，AI 智能体可以同时攻击成千上万个目标，且能 24 小时不间断工作。

虽然目前网络罪犯尚未大规模使用 AI 智能体发动攻击，但是其攻击潜力已经在实验室中得到验证。比如，Anthropic 公司的研究人员在封闭测试中发现 Claude 模型能够成功复现窃密攻击。

网络安全专家警告，这类来自 AI 智能体的网络攻击可能很快就会从实验室进入现实世界，现阶段正处于网络攻防的历史转折点，传统的网络攻击可能需要数天或数周的策划，而 AI 智能体能在你喝杯咖啡的时间就完成了攻击部署。

“我们终将面对一个由 AI 智能体主导网络攻击的时代，而问题只在于何时来临。”网络安全公司 Malwarebytes 的技术专家 Mark Stockley 直言。

尽管我们已经了解 AI 智能体对网络安全的威胁，但如何在实际攻击中识别和检测它们仍然是个难题。

现有的防御体系在面对 AI 智能体带来的新型威胁时显得有些力不从心，毕竟这些“数字黑客”既不像传统病毒有固定特征码可识别，也不像人类黑客会留下行为模式。

构建诱敌深入的“蜜罐系统”

为了应对这一新兴威胁，人工智能研究机构 Palisade Research 开发了一种名为“大语言模型智能体蜜罐”的防御系统。

顾名思义，这套“蜜罐系统”构建了一批伪装成政府或军事机密网站的服务器，这些服务器看似存储着重要数据，实则暗藏各种精心设计的漏洞陷阱，专门用来引诱和捕获前来攻击的 AI 智能体。

研发团队希望通过实时监测这些 AI 智能体的攻击行为，在它们威胁演变成大规模网络安全危机之前建立起有效的早期预警机制，同时为开发防御方案提供有效数据。

“我们的目标是将人们对 AI 威胁的理论担忧转化为实际验证。”Palisade Research 的研究主管 Dmitrii Volkov 表示，“当‘蜜罐系统’监测到 AI 智能体攻击数量出现激增时，就意味着网络安全格局已经发生了根本性改变。”

“预计在未来 3-5 年内，我们将进入一个全新的网络安全时代。黑客甚至不需要亲自编写攻击代码，只需对 AI 智能体下达简单的自然语言指令，比如‘这是你的目标网站，想办法破解它’，剩下的工作 AI 就能自动完成。”他补充说。

对网络罪犯而言，AI 智能体在成本、速度和覆盖范围方面比人类黑客更具优势。

首先，相比雇佣黑客团队动辄可能数万美元的成本，使用 AI 智能体可能只需要支付数十美元的 API 调用费用；其次，AI 智能体可以在毫秒级别内完成目标扫描和漏洞分析，攻击速度远超人类黑客。更重要的是，一个 AI 智能体可以同时对数以万计的目标发起攻击，这种覆盖范围是人类黑客团队难以企及的。

Mark Stockley 表示，此前最暴利的勒索软件攻击因需专业黑客操作而变得越来越少见，但未来这类操作可能会交由 AI 智能体代劳。“如果把目标筛选工作能给到 AI 智能体去做，勒索软件攻击就能实现目前难以想象的规模化复制。黑客只需要成功开发出一个有效的攻击模式，AI 智能体就能自动将其复制应用到成千上万个目标上，且无需投入大量资金。”他说道。

除此之外，与传统入侵系统的机器人相比，AI 智能体的优势更为明显。Dmitrii Volkov 解释道，“普通的网络攻击机器人就像按剧本演戏的演员，只能机械地执行预设的攻击脚本，一旦遇到系统升级、网站改版等意外情况，它们可能就会完全失效。”

“相较之下，AI 智能体不仅能动态调整攻击策略，也具备反侦察能力，还能持续学习、进化，这让防御工作变得异常困难。”他说道，“它们能自主分析目标并找到最佳的渗透策略，像专业黑客一样评估各种攻击路径，选择最有效的入侵方式。”比如，通过改变攻击节奏、伪装成正常人类用户访问，甚至学习安全系统响应模式来优化攻击方式等来主动规避安全检测。“这种动态决策能力和环境适应能力，是那些呆板的脚本机器人永远无法实现的。”

自从 2024 年 10 月投入运行以来，这套蜜罐系统已经记录超 1,100 万次访问请求，经过分析发现其中绝大多数是来自人类和普通机器人。但令人警惕的是，系统通过行为模式分析最终甄别出 8 个具有明显 AI 智能体特征的异常访问者。

“从行为模式分析来看，这些 AI 智能体很可能是某些组织或个人在进行技术测试，而它们接到的指令可能类似‘在互联网上寻找有价值的目标并尝试渗透’这样的开放式任务。”Dmitrii Volkov 推测说。

为了更全面地监测 AI 威胁，研究团队正在计划将蜜罐系统的覆盖范围扩展到社交媒体平台、网站和数据库等多个领域，来捕获包括垃圾邮件机器人、钓鱼智能体在内的更多新型攻击样本，为构建未来的 AI 威胁预警研判系统积累更多数据。

为精准识别访问漏洞服务器的 AI 智能体，研究团队在蜜罐系统中采用了“提示词注入”技术，系统会向访问者发送需要高级认知能力才能理解的指令和开放式问题。

比如，要求访问者输入特定指令“cat8193”来获取访问权限，或者回答一些需要语义理解的问题。普通脚本机器人对这种智能测试毫无反应，而 AI 智能体则会展现出类人的交互能力。

通过分析响应数据，研究人员发现了一个关键特征，AI 智能体平均不到 1.5 秒就能正确响应测试指令，这个速度超过人类操作者（人类通常需要数秒的时间阅读提示并手动输入）。

在检测到的 8 个疑似 AI 智能体中，有 2 个快速通过验证，其余 6 个虽然最终输入了正确指令，但响应时间稍长，意味着可能并非纯粹的 AI 智能体。

提前预防比事后补救更重要

关于 AI 智能体攻击何时会大规模爆发，网络安全专家们仍存在不同看法。

比如，Malwarebytes 公司在《2025 恶意软件报告》中将 AI 智能体列为新型网络威胁。该公司的安全技术专家 Mark Stockley 预测：“最快在今年我们就将迎来首个由 AI 智能体主导的大规模网络攻击浪潮，届时传统的安全防御体系可能面临前所未有的挑战。”

安全公司 Trend Micro 的高级研究员 Vincenzo Ciancaglini 认为，“虽然目前 AI 智能体技术还处于起步阶段，针对其恶意用途的开发也才刚刚开始，但现在的局面就像两年前大语言模型领域的‘西部拓荒期’一样混乱无序。”

他对 Palisade Research 的研究创新性给予高度评价，“这相当于反过来‘黑入’那些试图攻击你的 AI 智能体，就像在数字世界设置了一个‘镜面迷宫’，让攻击者暴露自己。目前观察到的还只是智能体进行侦查试探，但关键问题是距离它们能够自主完成从侦查、渗透到数据窃取的完整攻击链还有多远？这正是整个安全行业需要密切关注的危险信号。”

Vincenzo Ciancaglini 进一步分析道，“随着 AI 智能体系统日趋成熟，恶意攻击者很可能会采取‘三步走’策略：第一阶段主要用于情报收集和目标筛选；第二阶段升级为简单的自动化攻击；最终会演变成能够自主决策的复杂攻击。”

他还警告说，“然而 AI 技术的发展往往出人意料，智能体网络犯罪活动也可能会在一夜之间突然爆发，这种不可预测性正是当前 AI 安全领域最令人不安的特征之一。”

对此，Amazon Web Services 首席信息安全官 Chris Betz 则持有相对保守的看法，他认为，“现阶段 AI 的作用主要是放大现有攻击手段的威力，而非创造全新攻击模式。虽然某些攻击会变得更易实施且更频繁，但检测和应对的基本原则并未改变。”按他的意思，现有的安全体系经过适当升级仍然能够有效应对这些威胁。

瑞士苏黎世联邦理工学院的博士生 Edoardo Debenedetti 提出了一个颇具前瞻性的防御理念：“以 AI 制 AI”。

“这个思路的核心在于，如果我们能训练出足够强大的‘防御型 AI 智能体’，它们都找不到系统漏洞，那么同级别的‘攻击型 AI 智能体’大概率也会束手无策。这就好比在数字世界建立了一道由 AI 守卫的智能防火墙。”他解释道。

如今业界已经意识到 AI 自主进行网络攻击的潜在风险正在与日俱增，而且已有证据表明 AI 智能体正在大规模扫描互联网，当前最迫切的研究课题之一，是系统评估这些 AI 智能体在实际环境中查找和利用漏洞的真实能力。

所谓“知己知彼百战不殆”，先需要先了解敌人的武器装备，才能制定有效的防御策略。为了科学量化 AI 智能体攻击的实际威胁水平，伊利诺伊大学厄巴纳-香槟分校助理教授 Daniel Kang 和团队开发了一套全新的评估基准系统。

他们研究发现，当前 AI 智能体在没有任何先验知识的情况下，成功发现并利用了 13% 的漏洞；而当研究人员为智能体提供漏洞的简要描述后，攻击成功率更是跃升至 25%。

这些数据表明，即使没有经过专门的训练 AI 也具备识别和利用系统漏洞的人能力，相比之下，传统的自动化攻击工具在这些测试中的表现要逊色得多。

“这个基准测试的重要意义在于，它为 AI 安全风险评估提供了一种标准化工具。”Daniel Kang 表示。就像汽车碰撞测试评级一样，可以用这个工具来评估不同 AI 的安全风险等级。他还希望通过这个工具，能够指导开发者构建更安全的 AI 系统，从源头上降低被恶意利用的风险。

“在 AI 和网络安全问题上，我们必须要有前瞻性思维。在这一领域迎来‘ChatGPT 时刻’（即 AI 攻击突然大规模爆发时）之前就要未雨绸缪，而不是等到灾难降临才后知后觉。网络安全领域的教训告诉我们，预防永远比补救更重要。”他总结道。

参考链接：

1.https://www.technologyreview.com/2025/04/04/1114228/cyberattacks-by-ai-agents-are-coming/

2.https://www.threatdown.com/blog/threatdown-state-of-malware-report-2025/

来源：麻省理工科技评论APP