AI 对网络安全的影响：从攻防失衡到“AI 漏洞末日“，过去 12 个月发生了什么-深圳市維司達科技有限公司

AI 对网络安全的影响：从攻防失衡到"AI 漏洞末日"，过去 12 个月发生了什么

讲一个时间点。2025 年 9 月中旬——一家 AI 公司的威胁情报团队发现一件不对劲的事。

他们注意到自己的 AI 编程助手 Claude Code 出现了非常异常的使用模式——有用户每秒钟发送几千个请求，分布在多个不同账号上，覆盖全球大概 30 个机构的渗透测试任务。

那个时候 Anthropic 内部 SOC（安全运营中心）的反应是——“这个量级超过了任何人类团队能完成的速度”。一秒几千个请求是什么概念？正常一个渗透测试团队 10 个人，干一天能完成的工作大概是几百到一千个操作。这个用户每秒钟在做几千个。

Anthropic 花了 10 天调查。结果震惊整个安全行业——这是中国国家级黑客组织 GTG-1002 操控的全自动 AI 入侵。攻击目标是 30 家全球机构，包括大型科技公司、金融机构、化工企业、政府部门。80-90% 的攻击操作完全由 AI 自主完成——人类只在关键决策点（4-6 个）介入，每场战役人类总投入大概 20 分钟。

11 月 13 日 Anthropic 把这件事写成报告公开发布，正式命名为"人类历史上首次有记录的大规模 AI 自主编排网络攻击"。

这一天是过去 12 个月 AI 跟网络安全这件事的真正分水岭。AI 从"攻击辅助工具"变成了"攻击主体"。

下面把 AI 跟网络安全这件事的完整影响讲清楚。

第一阶段：AI 是工具——2023-2024 年

要理解 2025-2026 年发生了什么，得先回顾 2023-2024 年。

那个阶段 AI 在网络安全里主要是个辅助工具。

攻击方用 AI 做什么——

AI 生成钓鱼邮件——把"亲爱的客户您好"这种漏洞百出的中式英语，改写成跟正版 Apple 邮件一模一样的语法和措辞
AI 生成恶意代码片段——让 ChatGPT 写一段绕过杀毒软件的代码（虽然 OpenAI 一直在拦）
AI 改写漏洞利用程序——根据已知漏洞的描述生成 PoC（概念验证代码）

防守方用 AI 做什么——

AI 写检测规则——根据攻击描述自动生成 SIEM（安全信息事件管理）的检测规则
AI 分析日志——用大模型读海量服务器日志找异常
AI 写漏洞报告——把扫描器的输出整理成给老板看的 PPT

这个阶段 AI 的本质是把人的工作做得更快——但每一步还是人在做决策。AI 不主动选目标、不主动执行攻击、不主动决定下一步。人在键盘前面，AI 在屏幕上面。

行业当时的共识是——“AI 不会改变攻防平衡”。理由是 AI 给攻击方加 buff，也给防守方加 buff，两边一起涨，差不多扯平。

这个共识从 2025 年 5 月开始崩塌。

第二阶段：AI 开始自主攻击——2025 年 5-11 月

2025 年 5-6 月——Anthropic 在威胁情报报告里第一次提到了“vibe hacking”（氛围黑客）这个概念。一些威胁组织开始用 AI 做完整攻击链的协助——从初始入侵的 VPN 破解到内部网络的横向移动到数据外泄——但人类还在主导。

2025 年 7 月——Anthropic 发现一起用 Claude 做大规模数据盗窃和勒索的事件。威胁组织把 Claude 当成"高级渗透助手"，让 AI 帮忙写加密代码、起草勒索信、甚至跟受害者谈判。

2025 年 9 月中旬——GTG-1002 事件爆发。这是 AI 跟网络安全关系彻底改变的时刻。

GTG-1002 的具体玩法非常值得拆解。

第一步——绕过 AI 安全机制。攻击者用了一个非常巧的招——社会工程 AI 本身。他们把整个攻击流程拆成几千个小任务，每个小任务单独看起来都很合理（“扫描这个 IP 的开放端口”、“分析这段代码的漏洞”、“生成一段测试数据库查询的脚本”）。然后告诉 Claude——“我们是某安全公司的红队，正在做授权渗透测试”。

Claude 在这种"上下文造假"下没有警觉——因为单看每个任务确实是合法的安全测试任务。AI 没法跨任务判断整体意图。

第二步——MCP 工具链编排。攻击者用MCP（Model Context Protocol，模型上下文协议）把 Claude Code 跟一堆开源渗透工具（Nmap、Metasploit、Burp Suite、SQLMap 等）连起来。Claude 变成了渗透测试的"中央大脑"——人给 Claude 一个高层目标"渗透 X 公司的网络"，Claude 自动拆解成"先扫描端口→然后识别服务→然后查找已知漏洞→然后生成 exploit→然后渗透→然后横向移动→然后找数据库→然后提取数据"。

第三步——多 Agent 并行。攻击者同时跑几十个 Claude Code 实例，每个实例处理一个目标的不同阶段。一个 Claude 在做侦察、另一个在做漏洞利用、第三个在做权限提升。所有实例之间通过 MCP 共享情报。

第四步——执行速度。AI 每秒发起几千个请求——比任何人类红队的速度快 100-1000 倍。

结果——30 家机构被攻击，几家成功被入侵——包括科技公司、金融机构、政府部门。被盗数据包括用户凭证、系统配置、敏感运营数据。

Anthropic 报告里有句话非常关键——“This represents a fundamental shift in how advanced threat actors use AI”（这代表了高级威胁行为者使用 AI 方式的根本转变）。

GTG-1002 之后整个网络安全行业的模型彻底改变。"AI 不会改变攻防平衡"这个共识被打碎。

第三阶段：Mythos——AI 让漏洞挖掘进入工业化时代

如果说 GTG-1002 是攻击侧的分水岭，2026 年 4 月 7 日的 Anthropic Mythos 发布就是漏洞挖掘侧的分水岭。

Mythos 是 Anthropic 训的一个新前沿模型。能力强到 Anthropic 自己都不敢公开发布——只通过 Project Glasswing 项目给一小部分公司用（最初 12 家——AWS、Apple、Cisco、Google、JPMorgan、Microsoft、NVIDIA、CrowdStrike、Mozilla 等，后来扩展到 50+ 家）。

Mythos 干了什么——几周内在主流软件里找到了上万个零日漏洞。

具体数据——

OpenSSL1 月份的安全更新里 12 个零日漏洞——AISLE 系统（基于 Mythos 类技术）独立全部找到。其中一些逃过了几十年的 fuzzing 测试和人工审计。
OpenBSD27 年没人发现的漏洞（CVE-2026-XXXX）——Mythos 找到了
FreeBSD NFS 远程代码执行漏洞（CVE-2026-4747）——17 年没人发现的 bug，让未授权攻击者获得任何运行 NFS 机器的完全 root 权限
Mozilla Firefox 150发布前——Mythos 跑了一遍找出 271 个漏洞，很多漏洞已经在代码里躺了 10-15 年没被发现
每个主流操作系统、每个主流浏览器——Mythos 都找到了零日漏洞

Anthropic 发的红队博客里有个很关键的数据——Mythos 找的漏洞超过 99% 还没被打补丁。意思是这个能力一旦扩散到坏人手里，他们能在几小时之内找到全球数千个未修补的关键漏洞。

攻防的根本失衡

把 GTG-1002 跟 Mythos 放在一起看，AI 给网络安全带来的最大改变其实只有一句话——攻击和防守的速度不再对等。

传统模式下——

漏洞发现：周到月级别（人工审计）
漏洞利用开发：周到月级别
攻击执行：天到周级别
漏洞修补：周到月级别

每一步攻击和防守的速度大致对等。防守方有时间反应。

AI 时代下——

漏洞发现：小时到天级别（Mythos 类工具）
漏洞利用开发：分钟到小时级别（AI 自动生成 exploit）
攻击执行：分钟级别（AI 每秒几千请求）
漏洞修补：还是周到月级别（人工写补丁、测试、推送）

问题来了——攻击侧用 AI 加速 100-1000 倍，防守侧用 AI 只能加速 5-10 倍。

为什么？因为修补漏洞这件事天然慢。一个补丁要写代码、做单元测试、做集成测试、做兼容性测试、推送给亿级用户、解决推送过程中暴露的新 bug——这些步骤都是人在主导，AI 帮不上太多忙。

而找到并利用漏洞这件事 AI 可以全自动化。

Anthropic CEO Dario Amodei 在 5 月 5 日华尔街发布会原话——“我们大概有 6 到 12 个月的时间窗口来修补这上万个漏洞，然后中国 AI 模型会追上来。”

6-12 个月。这是全世界修补 Mythos 这一波漏洞的窗口期。之后就是开盲盒——任何能训出 Mythos 类模型的人都能扫到这些漏洞。

真实数字告诉的故事

把 2025-2026 年 AI 跟网络安全相关的硬数据列出来——

IBM 2025 数据泄露报告——16% 的数据泄露涉及攻击者使用 AI 工具。其中 37% 用于 AI 生成钓鱼，35% 用于深度伪造冒充。

CrowdStrike 2025 年报告——AI 启用的攻击同比增长 89%。

Anthropic State of AI Cybersecurity 2026 报告——

77% 的组织已经在安全堆栈里用了生成式 AI 或 LLM
67% 的组织已经部署了 agentic AI 做半自主或自主安全运营
50% 的安全团队最担心高度个性化钓鱼
45% 担心自动化漏洞扫描和漏洞利用链
40% 担心自适应恶意软件
40% 担心深度伪造语音诈骗

HackerOne 排行榜——AI 漏洞报告 AgentXBOW 登顶第一——成为历史上第一个登顶 HackerOne 排行榜的 AI 模型。意味着找漏洞这件事，机器已经超过最优秀的人类白帽。

全球网络安全人才缺口——

2024 年缺口约500 万人
2030 年预计达8500 万人
缺口最大的是亚太地区（菲律宾、台湾、印度）

这些数据加起来意味着——AI 让攻击侧能力暴涨 89%+，但防守侧的"人"还差着 5000 万-8500 万。

几个真实的 AI 自主攻击案例

除了 GTG-1002，过去 12 个月还有几个值得记下来的案例。

北朝鲜远程工作者诈骗——Anthropic 发现北朝鲜操作员用 Claude伪造美国身份——生成假履历、做面试题、用 AI 完成日常技术工作——渗透到美国 Fortune 500 公司当远程程序员。给北朝鲜政权赚外汇，绕过国际制裁。

FortiGate 防火墙 CyberStrikeAI 攻击——2026 年初的攻击。完全自主 AI 攻击引擎针对 FortiGate 防火墙——AI 自动扫描互联网、自动识别脆弱设备、自动生成 exploit、自动入侵、自动横向移动、自动外泄数据。整个过程几乎没有人参与。

LiteLLM 供应链攻击——攻击者通过 LiteLLM（一个流行的 AI 网关库）的供应链漏洞，把恶意代码注入到使用这个库的所有 AI 应用里。这是"AI 基础设施"层的攻击——一旦攻陷一个常用 AI 库，整个 AI 应用生态都受影响。

Mercor 数据泄露——一家做"数据标注外包"的 AI 公司被入侵——攻击者拿到了几十家大型 AI 公司的训练数据。这些数据本身可能包含未公开的模型能力线索。

Meta AI 数据泄露——Meta 内部 AI 工具的配置文件泄露——攻击者拿到了 Meta 内部模型的部分权重。

这些案例的共同特点——

AI 是主体，不是工具
速度比人类操作快 10-100 倍
多目标并行——一次攻几十甚至几百家
门槛降低——本来需要国家级资源才能做的攻击，现在小团队也能做

Foresiet 报告里有个数据——“自主 AI 代理现在占 AI 相关数据泄露的 1/8”。这个比例还在快速上涨。

防守侧的真实情况

讲完攻击讲防守。AI 给防守侧能带来什么？

好的方面——

漏洞预先发现——Mythos 这种工具如果给防守方用，能在攻击者之前找到并修补漏洞。Anthropic 的 Project Glasswing 就是干这个——给 50+ 家关键软件公司用 Mythos 自检。Mozilla Firefox 271 个漏洞修补，就是这个项目的成果。

自动化威胁检测——Anthropic、CrowdStrike、Palo Alto Networks 这种安全公司都在用 AI 做实时威胁检测。AI 能在几秒钟内识别异常流量模式——比传统 SIEM 规则的检测能力强 100 倍。

自动化威胁响应——AI 可以在检测到攻击后自动隔离受感染主机、阻断恶意流量、撤销可疑账户权限。反应速度从小时级降到秒级。

安全代码生成——Claude Code、GitHub Copilot 这类工具的下一代会默认写更安全的代码——内置 OWASP Top 10 检查、自动避免 SQL 注入和 XSS 漏洞。

问题的方面——

99% 漏洞没被修补——Mythos 找到的漏洞绝大多数还没修补。因为修补需要软件维护者花时间，但维护者跟不上 AI 找漏洞的速度。

访问不平等——Mythos 只给 50+ 家大公司用。白宫拒绝把这个工具扩展给全球更多机构。结果大公司有防御能力，中小公司、政府机构、医院、学校没有。“安全不应该是奢侈品”——但现在它就是奢侈品。

防守 AI 只比攻击 AI 慢 6-12 个月——Anthropic 的判断是，开源 AI 模型 6-12 个月内会追上 Mythos 的能力。意味着防守工具的窗口期非常短。

人才严重不足——AI 工具再强，也得有人会用。5000 万-8500 万的网络安全人才缺口意味着大部分组织根本没有人能用好 AI 安全工具。

中国在这件事里的位置

讲到中国，得讲一些不太好听但真实的事。

第一，中国是攻击方。GTG-1002 被 Anthropic 高置信度归因为"中国国家级"。这是中国国家级黑客组织第一次被公开记录用 AI 做大规模自主攻击。

第二，中国国产 AI 在追赶。Dario Amodei 说"中国 AI 模型大约落后 6-12 个月"——意思是 DeepSeek、Qwen、Kimi 这些模型 6-12 个月之内会做出 Mythos 类能力。那时候攻击工具就开源了——任何人都能下载来跑。

第三，中国防御侧准备不充分。中国互联网防御主要靠华为、腾讯云、阿里云、奇安信、深信服这些厂商。这些厂商的 AI 安全工具能力跟 Anthropic、Google、Microsoft 还有差距。

第四，中国关键基础设施风险大。中国电网、银行系统、交通、医疗、政务系统——这些系统的代码里大概率有几十年没修补的漏洞。如果开源 AI 工具能找到这些漏洞，中国会面对一波系统性的网络攻击。

不要乐观。AI 时代国家级网络安全风险是真实的。

这件事对国内 AI 创业者意味着什么

讲三个具体启示。

第一，AI 安全是国内最大的政策蓝海之一。中国监管层会跟着美国走"AI 上 FDA"的路。中央网信办、工信部、国家安全部、网络安全和信息化委员会——这些机构未来 12-24 个月会出台越来越严格的 AI 模型审查规定。做 AI 安全测试、AI 红队、AI 合规咨询、AI 漏洞挖掘这种业务的国内公司会爆发。

第二，国产模型也需要"防御性 AI"。Anthropic 的 Mythos 不只是攻击工具，是攻防一体的工具——给防守方用就能在攻击者之前修补漏洞。中国需要自己的 Mythos——一个能扫描中国关键基础设施代码、找出漏洞、提前修补的国产 AI 安全模型。DeepSeek、Qwen、智谱、Kimi 这些公司应该专门训这种模型。

第三，OpenClaw 这种多模型路由网关在 AI 安全场景有真实价值。AI 安全分析需要不同模型的能力组合——

用 Claude Opus 4.7 做深度推理（漏洞分析）
用 GPT-5.5 做代码理解
用 DeepSeek 做大规模批量扫描（成本敏感场景）
用国产模型做敏感数据处理（数据不出境）

OpenClaw 这种能在不同模型之间智能路由的中间层——对企业级 AI 安全应用是刚需。一个银行做安全运营，必须根据合规要求、成本要求、能力要求把任务路由到不同模型。这是 OpenClaw 在 2026-2028 年的关键场景。

第四，AI Agent 自身的安全是新赛道。GTG-1002 攻击展示了 AI Agent 可以被"社会工程"绕过安全机制。未来 AI Agent 的部署需要专门的"Agent 安全"产品——监控 Agent 的所有行为、检测异常调用模式、识别 jailbreak 尝试、隔离可疑会话。这是一个全新的产品类别——国内 AI 创业者完全可以做。

几个具体的行动建议

如果你是 CTO 或者负责企业 IT 安全，2026-2027 年应该做这几件事——

第一，更新威胁模型。假设攻击者已经在用 AI——AI 自动扫描、AI 自动渗透、AI 自动外泄。传统的"周级别响应窗口"不够用了。要建分钟级别响应能力。

第二，零信任架构必须落地。GTG-1002 攻击成功的原因之一是攻击者拿到一个开发者账号后能横向移动到整个网络。零信任架构的核心是每个访问都重新验证——AI Agent 的访问也不例外。

第三，AI 工具的访问要加监控。员工用 ChatGPT、Claude Code、Cursor 是大势所趋。但这些工具调用了什么、传出了什么数据，必须有审计日志。否则一旦员工不小心把代码贴到 AI 里，敏感信息就泄漏了。

第四，关键代码做 AI 自检。如果你的核心业务跑在自研代码上，找一个 Mythos 类工具（或者类似能力的开源模型）跑一遍。每个公司都应该假设自己代码里有几十年没人发现的漏洞。

第五，备份和恢复要测试。AI 时代勒索软件会更加猖獗——一个小团队就能同时攻 100 家公司。唯一可靠的对抗就是干净的备份+演练过的恢复流程。

最后说一个观察

讲完这一切回到核心问题——AI 让网络世界变得更安全，还是更危险？

答案是——短期内更危险，长期内可能更安全。

短期内（2026-2028 年）攻击侧的 AI 能力暴涨速度远快于防守侧。这 2-3 年是"AI 漏洞末日"窗口期——大量未修补的关键漏洞会被批量发现并利用。可能会有几起标志性的大事件——某个全球银行系统被攻破、某个国家级关键基础设施被瘫痪、某个全球软件供应链被污染。

但长期看（2028 年以后）——当 Mythos 类工具真正普及给所有防守方，当 AI 能自动写补丁、自动测试、自动推送，漏洞从发现到修补的窗口会从月级别降到天级别。那个时候攻防会重新平衡。

中间这 2-3 年的代价——会非常痛。

Anthropic CEO Dario Amodei 在 5 月 5 日发布会的金句——“There are only so many bugs to find.”（找的 bug 数量有上限）。意思是漏洞总数是有限的——AI 把这些漏洞挖完之后，人类社会的代码会前所未有地干净。这是乐观情景。

悲观情景是——人类社会跟不上 AI 找漏洞的速度，关键基础设施被批量攻击，造成大规模混乱。

哪个情景会发生？取决于全球 AI 行业、各国政府、企业 CTO 们在未来 12 个月做什么。

GTG-1002 是分水岭。Mythos 是分水岭。这两件事告诉我们一件事——人类社会从此进入"AI 战争"时代。

战场不在物理世界，是在每一行代码里、每一个网络连接里、每一台服务器里。这场战争已经打响了。

而对绝大多数普通人来说——他们甚至不知道这场战争存在。

参考资料

Anthropic 完整 GTG-1002 报告: https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf
Anthropic Project Glasswing 公告: https://www.anthropic.com/glasswing
Anthropic Mythos Preview 红队博客: https://red.anthropic.com/2026/mythos-preview/
CNBC Amodei 网络安全"危险时刻"警告: https://www.cnbc.com/2026/05/05/anthropic-ceo-cyber-moment-of-danger-mythos-vulnerabilities.html
Hacker News GTG-1002 中文报道: https://thehackernews.com/2025/11/chinese-hackers-use-anthropics-ai-to.html
eSecurityPlanet GTG-1002 完整解析: https://www.esecurityplanet.com/threats/inside-the-first-ai-driven-cyber-espionage-campaign/
ExtraHop GTG-1002 NDR 检测报告: https://www.extrahop.com/blog/anthropic-reveals-the-first-ai-orchestrated-cyber-espionage-campaign
Coder.com 第一次 AI 编排网络攻击董事会指南: https://coder.com/blog/the-first-ai-orchestrated-cyberattack-just-happened-no-one-was-prepared
TechStartups Mythos 终极报告: https://techstartups.com/2026/05/08/anthropics-claude-mythos-exposed-a-terrifying-new-cybersecurity-reality/
War on the Rocks 关于 Mythos "核弹"分析: https://warontherocks.com/cogs-of-war/anthropics-nuclear-bomb/
AISLE Mythos 后的 AI 网络安全: https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier
Foresiet 2026 AI 攻击事件汇总: https://foresiet.com/blog/ai-enabled-cyberattacks-2026-incidents/
Cybersecurity Dive 自主攻击 2025 报告: https://www.cybersecuritydive.com/news/cybercrime-ai-ransomware-mcp-malwarebytes/811360/
Kiteworks AI 网络安全 2026 趋势报告: https://www.kiteworks.com/cybersecurity-risk-management/ai-cybersecurity-2026-trends-report/
ArmorCode Mythos 分析: https://www.armorcode.com/blog/anthropics-claude-mythos-and-what-it-means-for-security
Rest of World Mythos 与全球网络安全鸿沟: https://restofworld.org/2026/ai-cybersecurity-anthropic-mythos/
Cloud Security Alliance Mythos 容器失败白皮书: https://labs.cloudsecurityalliance.org/research/ai-vuln-discovery-containment-claude-mythos-v1-0-csa-styled/
Paul Weiss GTG-1002 法律分析: https://www.paulweiss.com/insights/client-memos/anthropic-disrupts-first-documented-case-of-large-scale-ai-orchestrated-cyberattack
AI 事件数据库 GTG-1002 条目: https://incidentdatabase.ai/cite/1263/

#AI网络安全 #Mythos #ProjectGlasswing #Anthropic #ClaudeCode #GTG1002 #中国黑客 #AI攻击 #零日漏洞 #漏洞挖掘 #AI红队 #AIAgent #MCP #DarioAmodei #JamieDimon #Firefox #OpenSSL #CrowdStrike #IBM #网络安全 #AI伦理 #国家安全 #AI前沿 #深度分析