Anthropic分析一年来AI网络威胁：攻击者更危险，MITRE框架需更新

订阅Frontier Red Team新闻通讯获取我们最新红队研究和发现的更新。政策Frontier Red Team2026年6月3日随着人工智能改变网络攻击的性质和方法，安全社区使用的技术和框架效果如何？

在一份新报告中，我们试图回答这个问题。我们检查了2025年3月至2026年3月期间因恶意网络活动而被封禁的832个账户，并将其映射到MITRE ATT&CK——一个长期收录网络攻击者策略和技术的数据库。

我们在Verizon的2026年数据泄露调查报告（DBIR）中发布了部分结果，并在此分享更详细的分析。这832个案例只是该时期被封禁账户总数的一个子集，但它们代表了我们有足够细节对攻击者技术进行彻底评估的那些案例。

我们的分析得出了三个主要结论：- 恶意行为者正在以使他们更加危险的方式使用AI。更具体地说，威胁行为者正在其网络行动的后期、更复杂的阶段使用AI。- 网络攻击正变得越来越自主，AI可用于将攻击的许多部分串联起来，这意味着区分高风险和低风险行为者的旧方法不再那么有效。

- MITRE ATT&CK框架并未完全捕捉到使AI辅助攻击者如此危险的工具和活动。

下面我们总结每个结论。您可以在我们的Frontier Red Team博客上阅读更长的分析。我们的数据库中最常见的AI辅助活动与网络攻击准备有关，例如编写恶意软件（我们研究的832个账户中有560个，即67.3%，为此使用了AI）。

较少的行为者使用AI进行更复杂的活动——例如，832名行为者中的54名（6.5%）使用AI协助“横向移动”，即在受损网络内部深入导航。我们发现了与AI被用于提升攻击者威胁级别相一致的证据。在我们分析的前六个月，33%的行为者被我们的风险评分系统归类为中等风险或更高。

但到了第二个六个月，这一比例跃升至56%——大约增加了1.7倍。在我们研究的整个时期，攻击者对AI的使用从获取系统初始访问的技术转向进入系统后进行的活动。

例如，使用AI进行账户发现——识别受损环境中的有效账户——上升了8.9%，而AI辅助钓鱼（一种常见的获取系统访问的技术）下降了8.6%。这表明攻击者越来越多地在攻击生命周期中更深层次地应用AI。

这些“入侵后”技术过去仅限于具备实施技术知识的行为者。

我们的调查表明，AI现在可以代表技术不太复杂的行为者执行这些活动。安全团队如何评估网络攻击者的风险水平？传统上，他们使用诸如行为者采用了多少种不同技术以及他们使用的工具或界面等信息。但我们的分析表明，这些信号不再准确描绘特定威胁行为者的风险水平。

既然AI可以代表行为者执行高度技术性的任务，那么威胁行为者的技能与他们使用的技术数量之间几乎没有相关性：我们数据集中技能最低的行为者平均使用了大约16种不同技术，而最熟练的行为者使用了大约20种。

同样，使用的特定平台——Claude Code、API或聊天界面——也与行为者的风险级别无关。通常有助于区分高风险行为者的是他们在攻击生命周期中应用AI的位置。

例如，他们将AI的使用集中在操作要求更高的技术上——那些需要大量时间、监督或实时决策来执行的技术，如账户发现、横向移动和权限提升，而不仅仅是允许他们获得系统初始访问的任务。

但即使是这样的信号也已经在减弱：正如上一节所讨论的，随着越来越多的行为者被归类为高风险，这些操作技术正是更广泛人群所走向的方向。

更持久的区别是攻击者围绕模型构建的支撑架构类型：高风险行为者设计的架构允许模型将网络攻击的离散阶段串联起来，并以最少的人类输入执行。

许多区分最高风险行为者的行为——例如使用AI顺序编排攻击链中的步骤、实时决策下一步要做什么以及无需人为干预执行——尚未作为攻击者技术包含在MITRE ATT&CK框架中。以我们在2025年11月挫败的国家支持的网络间谍行动为例。

在该案例中，一名恶意行为者操纵Claude Code试图渗透世界各地的目标，几乎没有人为干预。将其映射到MITRE ATT&CK框架显示，该行为者在13种策略中使用了30种技术，与我们数据集中的许多中等风险行为者相当。

显然，专注于该行为者使用的技术数量低估了他们的真实危险性（相比之下，将我们的风险评分方法应用于这次攻击可获得最高风险评分100）。在那次攻击中，模型充当了自主智能体：它执行命令、利用漏洞、窃取凭证并做出战术决策，仅在少数关键时刻需要人工输入。

对于这种类型的智能体编排，没有ATT&CK ID——然而，随着AI智能体能力越来越强，这些正是我们预计会更多看到的行为。这项分析的结果有助于为我们构建到模型中的安全措施提供信息。

例如，我们已在最有能力的模型上开发并部署了网络安全措施，以检测和阻止此处发现的一些活动，如开发恶意软件或大规模数据泄露。继与Verizon合作之后，我们还在与MITRE讨论ATT&CK框架如何演进以包括我们观察到的AI辅助行为。

前沿模型正在迅速改变攻击者和防御者可用的工具。我们致力于帮助防御者领先于这些不断演变的战术，并首先将最强大的工具交到防御者手中。我们将继续分享我们从Project Glasswing、我们在此收集的数据集以及我们的其他网络安全活动中所学到的东西。

在我们的Red博客文章中，我们分享了攻击者所用技术的交互式可视化，以帮助防御者领先于AI驱动的威胁。我们正在将Project Glasswing扩展到超过15个国家的约150个新组织。

阅读更多：Anthropic已向美国证券交易委员会秘密提交了S-1注册声明草案。阅读更多：Anthropic已在Altimeter Capital、Dragoneer、Greenoaks和Sequoia Capital领投的H轮融资中筹集了650亿美元。

阅读更多：获取我们最新红队研究和发现的更新。