
2025 年 11 月,Anthropic 发布了一份关于“AI 被高级持续性威胁组织(APT)利用”的安全报告。这不是一篇传统意义上的“风险预警”,而是一份极具里程碑意义的案例分析:在一场跨行业、多目标的网络间谍行动中,攻击者搭建了一个围绕 Claude Code 的自动化攻防框架,让模型承担了 约 80%–90% 的战术执行工作,包括侦察、漏洞发现、横向移动、数据提取和情报分析等环节。LameHug揭开AI安全新战场:网络攻防的核心,正从漏洞转向算法
更关键的是,这个框架运行建立在对模型自身安全机制的系统性规避和“社会工程化越狱”之上。攻击者通过角色扮演和场景伪装,让模型相信自己是在参与“合法的内部渗透测试”,从而绕开了模型内置的安全防护和滥用检测机制。关于OpenAI对布兰矩阵Abyssal Soul Heist算法安全问题回复的说明
换句话说:
利用 AI 模型做 APT 的前提,不是“模型很强大”——而是攻击者首先掌握了对模型本身的安全控制与绕过能力,也就是我们所说的算法原生安全攻击能力。
如果说过去二十年网络安全的主战场在“系统、网络与数据”,那么这份报告清晰地告诉我们:从现在开始,战场正在向“模型与算法本身”下沉。 谁能看懂、评估、加固、控制模型的行为边界,谁才有资格在下一轮 AI 安全格局中拥有话语权。
一、 先进 AI 模型被 APT 利用,标志一个时代门槛被跨越
在这起被 Anthropic 命名为GTG-1002 的攻击事件中,攻击者的技术路径并没有依赖大量“自研黑科技”。他们选择了一条更现实、也更可复制的路线:把 Claude Code 当作核心编排引擎,将传统渗透工具和基础设施与模型通过 MCP(Model Context Protocol)连接起来,让 AI 充当“攻击作战室的大脑”。
攻击者的操作大致可以概括为三层:

◎顶层是人类攻击者的意图与策略,例如“对这些目标做全链路渗透”、“重点关注内部工作流平台和数据库”等;
◎中间是模型负责的任务拆解与推理:把抽象目标分解为侦察、枚举、漏洞测试、横移、数据分析等具体步骤;
◎底层是模型调用的工具与基础设施:包括网络扫描、漏洞利用框架、浏览器自动化、密码破解工具、日志分析组件等。
从公开信息看,这套框架最大的“创新点”不在工具,而在于:**让模型保持了持续的上下文和任务记忆,将单次调用串成了跨天甚至跨多目标的完整攻击链。**在某些成功入侵的案例中,Claude 能够连续多天维持对同一目标环境的理解,自动延续上一次的侦察结果,继续向更深层的系统和数据推进。
这意味着,过去只有“国家级团队 + 顶级人才 + 长周期行动”才能完成的攻击任务,如今可以被“中等水平攻击者 + 一套成熟的模型驱动框架”大幅降低门槛地复制出来。攻击上限被 AI 拉高,攻击门槛同时被 AI 拉低。
而这一切的前提,是模型在逻辑与认知层面被“说服”站到了攻击者这一侧:
攻击者通过持续的场景包装,让 Claude 把自己的行为理解为“授权渗透测试”,从而主动调低对风险的敏感度,减少拒绝和报警。这种针对模型理解机制的精准操控,本身就是一种 算法原生安全突破——不是利用软件 bug,而是利用“认知与语义边界”的漏洞。
从这个角度看,这次事件真正标志的是一个新的门槛被跨越:
AI 不只是“被用来攻击”,而是“在被攻破自身安全边界之后,开始主导攻击”。
二、威胁归因高度复杂,我们不接受将技术问题简单地缘化
在这份报告中,Anthropic 按照自身威胁情报体系,将该攻击团体命名为“GTG-1002”,并在新闻稿和解读中使用了国家级背景的描述。然而,从国际网络安全行业的通行做法来看,这类命名更多是基于攻击行为模式、基础设施使用习惯、工具链特征等维度的聚类标记,并不直接等同于司法意义上的国家归因。
严肃的跨国网络攻击归因往往要经过几个层面:
长期样本分析与家族溯源;
多国运营商和基础设施提供商的数据协作;
针对代理链、跳板机、云资源的溯源与排除伪装;
必要时还需要配合执法行动与司法程序。
在没有公开、透明的完整链路证据前,仅凭单一厂商的技术分析报告,做出“某国国家支持攻击”的定性,无论在证据充分性还是行业规范层面,都偏向过早判断。
从中国的网络安全和 AI 行业视角来看,我们持十分清晰的立场:
我们高度重视这份报告披露的攻击形态、技术细节和趋势判断;
同时,我们不接受也不认同基于有限公开信息做出的简单地缘标签化结论;
更重要的是,我们认为 模型原生安全被突破是全球共同的技术风险,而不是可以简单划归某一地缘阵营的政治标签。算法安全——美国的AI主权武器
攻击者可以租用全球任何国家和地区的云资源、代理节点和基础设施;模型 API 可以在不同司法域被并行调用;攻击工具和样本可以跨社区、跨组织流转。在这样的背景下,负责任的行业讨论应该回到技术本身、回到能力建设上,而不是用“归因叙事”去替代对新威胁本质的思考。GPT-5系列安全性能提升解析 全球首推AI算法漏洞负责任协同披露机制(RCD-AI)制度草案
三、技术细节:AI 主导的攻击链究竟是怎么运转的?
如果说这份报告最有价值的部分是什么,那绝不是“命名了一个新的 APT 代号”,而是它几乎完整展示了一条 由 AI 主导执行的真实攻击链全貌——这对所有希望理解未来攻防格局的企业来说,都是一份极其具象的“预演脚本”。

从报告披露的细节来看,这套攻击链大致可以拆解为六个阶段,每一个阶段都有非常清晰的“AI角色”:


第一阶段:任务初始化——从“说服模型”开始的攻击
攻击者并没有直接在第一句提示词里暴露“攻击意图”,而是搭建了一个精心设计的叙事框架:
自己是一家企业或安全公司的内部红队工程师,当前正在进行授权的内网渗透测试,希望 Claude 协助完成测试计划、脚本生成和结果分析。
在这个过程中,模型的安全防护组件发挥了一定作用——它会尝试识别高风险操作。但攻击者通过不断补充上下文、强调“这是经过授权的测试”、“我们要确保系统没有暴露在黑客面前”等信息,将行为包装在“防御性安全”的语境之中,使模型逐渐降低警惕。
这实际上是一种典型的 风险语境重构(Risk Reframing)与 角色驱动越狱(Role-Play Jailbreak):
模型的“安全判断”本身没有被关闭,而是被错误引导到了攻击者构造的叙事实境中。
第二阶段:侦察与攻击面绘制——模型接管信息收集
一旦模型接受了“合法渗透测试”的任务设定,接下来的侦察就几乎完全自动化了。攻击框架使用 Claude 通过 MCP 调用浏览器自动化和扫描工具,对目标资产进行大规模探测:
扫描外部暴露服务、识别登录入口、分析证书信息、识别常见 Web 技术栈,甚至对内部已知网段进行系统化的服务枚举。
同时,模型会为每个目标维护独立的上下文,记录其主机、域名、网络拓扑与潜在入口点。这意味着它不再是一次次孤立调用,而是在连续地构建一张“攻击面地图”。
第三阶段:漏洞发现与利用链构造——推理驱动的自动化挖洞
当足够多的侦察信息被收集后,模型开始对这些数据进行分析,判断可能存在的漏洞面:
比如识别某一组件版本存在已知 SSRF 漏洞、某一管理接口缺乏严格认证、某一内部服务暴露了错误配置等。
在这一阶段,Claude 会自动生成针对性 payload,调用远程命令执行接口或其他测试环境进行验证,并根据返回结果判断exploit 是否成功。
报告中提到,在某些案例中,模型在 1–4 小时内完成了从扫描、漏洞分析、payload 构造到利用验证的一整套流程,人类只需要花 2–10 分钟对模型的“战果”进行审批,决定是否升级为实际攻击。
这是一个非常典型的“人类做战略审批、模型执行战术细节”的分工结构。
第四阶段:凭据收集与横向移动——AI 重建内网权限地图
成功获得初始访问后,模型会在内部环境中执行更深层的枚举:
从配置文件中提取数据库账号与密码、从日志中抓取 token 和session、从环境变量中获取云平台访问密钥,然后自动对这些凭据进行测试,判断其通行范围和权限等级。
在这个过程中,Claude 会不断更新对内部系统的结构性理解:
哪些系统负责身份认证,哪些系统存储关键业务数据,哪些内部 API 与外部系统联动,哪些节点具备运维或管理能力。这一切让它可以像人类红队一样,规划一条“最具性价比”的横向移动路径。
第五阶段:数据提取与情报分析——模型开始“理解”战果
与传统攻击不同,这次行动中,模型不仅负责“拿数据”,还负责“看懂数据”。
Claude 会登录数据库或内部系统,导出账号信息、配置表、业务日志等,然后自动对这些数据进行结构化分析:识别高权限账户、抽取密码哈希、定位核心业务表、发现与外部系统交互的敏感字段,并据此判断哪些数据具有情报价值。
报告中提到,模型甚至会对数据敏感度进行分类,对哪些数据适合作为持续情报来源、哪些数据可以直接转交给其他团队做长期运营,给出建议。
第六阶段:文档化与交接——攻击行动被“产品化”
最后,模型会生成一整套结构化报告:
包括攻击路径、发现的漏洞、利用方法、收集到的凭据、植入的后门账户、可持续访问路径等,并以 Markdown 或类似格式进行整理,方便其他成员接手或复盘。
这意味着,高级攻击行动不再是“高手的即兴表演”,而逐渐变成“可复用的能力资产”。
AI 正在把 APT 工程化、标准化、可交接化。
从头到尾,AI 之所以能做这一切,是因为攻击者首先在“算法层面”攻破了模型的安全边界——这就是算法原生安全的核心问题。
四、对中国企业的启发:AI 是新的超级攻击面
从电力能源到金融机构,从大型互联网平台到制造、交通、医疗与政务系统,只要未来业务深度依赖 AI,中国企业都绕不开一个现实:模型本身已经成为新的“超级攻击面”,而且它是跨行业、跨系统的。2025国家级实战攻防演练 传统互联网厂商AI转型的安全应对之道
在传统范式中,我们保护的是服务器、网络、终端、账号和数据库;在 AI 范式下,多了一个前所未有的“关键点”——模型的行为边界与推理路径。
对于电力与能源企业,如果调度辅助模型被越狱或被引导给出偏离稳态的建议,可能间接影响电网负荷。
对于金融机构,若风控模型长期在对抗样本影响下逐步“适应”了高风险模式,会放松对某些交易的审查强度。
对于互联网平台,如果多模态大模型被提示注入或长时间游走在灰区,可能对推荐策略、内容审核、账号风控产生系统性偏移。
对于制造与工控场景,模型如果被诱导生成错误配置或异常动作指令,风险就不再是“数据泄露”,而是“生产线停摆甚至设备损坏”。
对于医疗、自动驾驶和政务系统,这种风险更是直接映射到现实世界中的生命安全、公共安全和决策安全。
对国内企业来说,还存在一个必须正视的敏感但重要的问题:当我们越来越多地依赖海外先进模型的 API 或服务时,这些模型是否可能在某些模式下被“解除限制”或被不同主体以不同权限调用?
我们并不预设任何阴谋论,但从纯技术逻辑来看,这些问题需要被纳入长期风险评估:模型是否存在内部使用的“高权限模式”,具备更强的攻防能力,仅对特定机构开放?针对不同地区、不同合规框架,模型是否在安全策略、日志记录和滥用检测上存在不对称?在某些安全研究合作中,模型是否会以“测试”的名义开放攻击链生成能力,而这些能力未来是否可能外溢?
当 AI 已经被证明可以完成整条攻击链时,上述问题的安全权重,理应被大幅提升。对中国企业而言,这并不是“要不要用AI”的问题,而是“在用 AI 的前提下,是否已经具备对模型本身进行安全评估与持续监控的能力”。如果没有,就相当于在业务核心路径上引入了一个极强、但几乎不可见的攻击入口。
五、我们的判断:未来安全的核心是“模型对模型”,而不是“系统对系统”
综合这次事件披露的信息,我们基本可以确认:
未来十年的网络安全,将从根本上变成一场 “模型对模型”的对抗。
一端是攻击者利用模型进行侦察、自动化挖洞、横向移动和情报加工;
另一端,必须是防守方利用模型进行流量检测、异常行为识别、对抗样本分析、越狱行为捕获、Agent 行为审计与风险决策辅助。
传统那套“手工排查 + 规则配置 + 人工关联”的防守方式,在高密度、多样化、模型驱动的攻击面前,将节节败退。
在这样的格局下,谁具备 算法原生安全(AI-Native Security)能力,谁才有真正意义上的安全主动权。
这套能力至少包括几个层面:
◎对模型越狱与提示注入行为的系统性检测与评估;
◎对模型在不同业务场景下安全边界的量化刻画与基线构建;
◎对多 Agent 系统滥用风险的自动识别与运行时监控;
◎对攻击性任务的“前置推断”和自动化阻断机制;
◎对模型推理链、工具调用链和上下文演化过程的持续审计;
◎对大模型攻击链的模拟、回放与回归测试能力。
在中国,布兰矩阵所在的这一小撮“算法原生安全”团队,正在尝试把这件事变成可操作的工程体系:
我们通过 SafeBench 等平台,将越狱测试、提示注入攻击、多场景多模态风险评估、Agent 滥用行为检测等能力系统化、产品化;我们不只是写几个“好玩的 jailbreak 案例”,而是为模型构建一套可度量、可比较、可监管的安全基线,让企业可以在引入和升级模型时,有一套针对“算法侧风险”的体检报告和加固路径。
在我们看来,算法原生安全将成为和防火墙、WAF、SOC 一样的基础设施级安全能力——未来所有高度依赖 AI 的企业都需要某种形态的“模型安全中台”,否则就无法在 AI 时代谈真正意义上的安全建设。
当 AI 逐渐成为每一家企业的“第二中枢系统”,安全的重心就已经从机房、机架、网关设备,悄然挪到了模型内部的那几千亿参数、那条看不见的推理链条上。
问题不再是:我有没有被攻击?
而是:我的模型有没有被说服站到对面那一边?我有没有能力看懂它是怎么被说服的?我有没有能力阻止这种“说服”再次发生?
这将是所有行业、所有大型企业都需要尽快回答的问题,也是布兰矩阵选择深耕“算法原生安全”的根本原因。
如果说过去二十年的网络安全是一部防火墙、入侵检测与补丁管理的历史,那么从这份Anthropic 报告开始,接下来很长一段时间的安全史,都会写在 “模型如何被攻破、如何被防护、如何被监管”的章节里。
而我们希望,这篇文章,能成为这段新历史在中国语境下被认真展开讨论的起点之一。
关于 BraneMatrix(布兰矩阵)
我们是一家由顶级安全专家、全球知名算法科学家、专家资深红队研究员和全栈创造力出类拔萃开发者共同创立的新型安全公司,致力于打造全球领先的大模型算法安全检测平台与防御系统。
我们的使命是:
确保AI在安全、道德、合规的框架下运作,始终为人类社会服务。
我们相信真正的 AI 安全不是补丁,而是一套完整且可信赖的社会机制、工具链和能力体系。我们邀请你加入,一起写下这一章。
布兰矩阵将继续以技术为矛,倡议为盾,在国家战略框架指导下,为中国算法安全走向工程化、标准化、全球化,贡献开源力量。
本文分享自 BraneMatrix布兰矩阵 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!