前沿红队
Frontier Red Team
映射人工智能驱动的网络威胁:来自 LLM ATT&CK Navigator 的洞察
Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator
2026年6月3日
作者:Kyla Guru, Alex Moix 和 Jacob Klein
过去一年,我们一直在调查威胁行为者如何将人工智能武器化以实施网络行动。今天,我们分享一项新的分析,将这些真实世界的攻击映射到 MITRE ATT&CK® 框架上——这是一个记录网络攻击者所用战术和技术的数据库。这样做揭示了一些挑战传统网络安全假设的模式——例如,威胁行为者带来的风险水平可以通过技术复杂度或技术广度等指标来评估。我们与 Verizon 合作,将部分结果纳入了《2026 年 Verizon 数据泄露调查报告》(DBIR),并发布本报告,以提供关于我们在人工智能驱动的网络行动中观察到的趋势的更深入分析。[1]
💡 译者注:[1] 原文此处有脚注链接,但未提供具体内容。
在新标签页中打开交互式 Navigator。
关键发现
Key findings
在本研究中,我们分析了从 2025 年 3 月到 2026 年 3 月这一年期间与恶意网络活动相关的 832 个账户。Anthropic 因这些账户违反我们的使用政策而禁止其使用 Claude。本分析中的账户只是我们在此期间调查并封禁的账户中的一部分;我们选择它们是因为我们有足够关于其恶意活动的细节,能够将其技术映射到 MITRE ATT&CK 框架上。
我们分析中的 832 个账户使用 AI 模型涵盖了框架中的所有 14 种战术和 482 种独特子技术,从最初的侦察到最终的影响。[2] 我们还开发了一个风险评分框架(本文后面会描述),以评估 AI 辅助对这些行为者规划攻击的帮助程度。最引人注目的是,我们发现被标记为中等风险或更高风险的行为者比例,在一年中的上半年和下半年之间从 33% 跃升至 56%。这表明 AI 正在帮助攻击者更轻松地实施日益复杂的网络行动。
我们的分析有三个关键发现:
- 使用 AI 进行网络行动的行为者数量正在增长,且其行动带来的风险更高。 如上所述,中等或高风险行为者的比例在不到一年的时间内增加了约 1.7 倍,从我们研究窗口上半年的 33% 增加到下半年的 56%。这种增长集中在那些使用 AI 进行一些最具危害性活动的行为者身上,包括横向移动、凭证转储和 Web Shell——这些活动在我们的评分中具有最高的单行为者风险权重,而不是主导其余人群的商品化构建和混淆工作。传统上,只有技术最精湛的行为者才能在整个杀伤链(即网络攻击的连续阶段)中运作。但我们的分析发现,情况已不再如此。他们访问模型的平台(例如 API 或像 Claude Code 这样的智能编码平台)也与其行动的风险高低无关。真正区分最高风险行为者的,是他们要求模型执行哪些技术。
- 智能体脚手架将使网络攻击实现更高程度的自主性。 随着 AI 驱动的网络技术在这一群体中变得越来越普遍,根据行为者要求模型做什么来区分其风险水平将变得更加困难。相反,区分因素将变成脚手架——即行为者在模型周围构建的周边代码、架构和工具,使他们能够自主地将攻击阶段串联起来。这一点在我们于 2025 年 11 月挫败的网络间谍活动中表现得尤为明显,该活动的风险评分高达 100,但所使用的技术数量仅与中等风险行为者相当。那次攻击之所以与众不同,并非因为其采用的技术数量,而是因为攻击者如何使用 AI 智能体来编排这些技术。
- MITRE ATT&CK 框架尚未涵盖使这些行为者如此危险的自主行动。 自主杀伤链编排、实时转向决策以及无需人工干预的 AI 指导执行,在 ATT&CK 框架中尚无 ID 编号。我们的报告包含了 13,873 次恶意活动观察,所有这些都映射到了框架中列出的类别——但区分最高风险行为者、并决定其行动速度和规模的行为,目前还没有这样的 ID。现代威胁情报所依赖的分类法需要发展才能捕捉到这些行为。
虽然 Claude Mythos Preview 展示了前沿 AI 网络能力的发展方向——模型能够以接近最熟练人类研究人员的水平发现和利用漏洞——但本报告告诉我们的是威胁行为者今天如何滥用普遍可用的模型。它同时也作为一份指南,展示了威胁行为者在不久的将来可能如何滥用能力日益增强的模型,为防御者提供了抢占先机的机会。
我们从这次及其他分析中学到的东西,直接塑造了我们构建 Claude 以防止此类滥用的方式。例如,我们更新了内置于 Claude 中的分类器以检测最高风险的行为者,并扩展了我们的探针检测范围,以覆盖本分析揭示的高风险行为指标。这些发现指向了一个格局,其中低风险和高风险行为者之间的分界线不再是技术技能,而是编排能力;并且,我们所有人依赖的防御措施、检测手段和共享框架,都需要像它们所描述的攻击一样快速演进。
关于数据集
About the dataset
本报告中的发现源自 832 个账户,这些账户因在 2025 年 3 月至 2026 年 3 月期间违反我们使用政策中与网络相关的部分而被 Anthropic 封禁。我们通过自动化安全措施和威胁情报团队的调查相结合的方式识别出这些账户。对于每个账户,我们生成了观察到的活动的摘要。然后,我们提取了这些摘要中描述的战术、技术和程序(TTPs),并将其映射到当时最新版本的 MITRE ATT&CK 框架(V18)。总共,我们观察到了跨越 482 种独特技术和所有 14 种 ATT&CK 战术的 13,873 次行动。
我们根据一种名为 AI 风险赋能评分(ARiES)的新方法,为每个行为者分配了从 0 到 100 的风险评分(0 表示最低风险,100 表示最高风险),该方法将在下文描述。我们对数据进行了匿名化处理,因此在后续分析中无法识别具体的行为者。
LLM ATT&CK Navigator 和 ARiES 风险评分
The LLM ATT&CK Navigator and ARiES risk score
作为此分析的一部分,我们开发了 LLM ATT&CK Navigator:一个交互式框架,将观察到的 AI 驱动滥用模式映射到 MITRE ATT&CK 框架上,并为行为者分配 ARiES 风险评分。ARiES 是一个由三个信号构成的综合评分:行为者的威胁概况、模型对所请求危害的贡献,以及观察到的或潜在的影响。它是根据行为者在 Claude.ai、Claude Code 和我们的 API 上的活动,结合我们的安全分类器以及开源和内部威胁情报指标计算得出的。评分越高,表明该 AI 赋能的行为者风险越高。
我们的框架从三个维度对单个技术和账户进行评分:
- 威胁(0–35 分): 评估行为者意图的清晰度、其技术复杂度、威胁情报信号以及账户为逃避检测所采用的战术。技术复杂度由 Claude 根据行为者的提示词和工具使用情况进行分级,衡量所需的专业知识、操作者技能、定制化与商品化工具的使用情况以及能力深度。
- 脆弱性(0–35 分): 评估模型实现所请求危害的能力以及所用接口的风险概况。程序化接口(即 API)和像 Claude Code 这样的智能编码工具因其自动化行动的潜力而得分最高。
- 影响(0–30 分): 通过我们的安全分类器分配的分数以及调查人员对可归因于 AI 参与操作的实际或潜在后果的评估,来捕捉用户行为的真实世界影响。
这些组成部分共同产生一个从 0 到 100 的总风险评分,使我们能够将威胁行为者和技术分类为低、中、高和严重风险等级。
关于评分公式的说明
A note on the scoring formula
传统的网络风险方程将风险表示为 威胁 × 脆弱性 × 影响——这是一个乘法模型,反映了假设的攻击是否可能成功。在此模型下,如果任何一个因素为零,整体风险就会归零,因为缺少一个要素意味着攻击不会成功。
我们的模型有意使用加法而非乘法,这样我们就能回答这样一个问题:“哪些涉及 AI 的行为者和技术最值得防御者关注?”我们希望得到一个即使某个维度缺失或不明确时仍然有意义的分数,而乘法模型不允许这样做。考虑以下场景:
高能力和高后果,但意图不明确。 想象一个缺乏经验的用户,通过尝试使用智能编码工具,无意中产生了功能性的攻击能力,比如一个可蠕虫化的漏洞利用。意图实际上为零,因此乘法评分会将其记录为无风险。但现实中,模型仍然为潜在的攻击提供了实质性的提升,这种交互非常值得浮出水面,以便部署额外的安全措施。
意图和能力明确,但未发现受害者。 现在考虑一个具有明确恶意意图的行为者,滥用 Claude 开发出可工作的恶意软件,但我们没有证据表明其已部署或产生下游影响——至少目前没有。乘法模型会再次在“影响”维度上将分数归零,尽管 AI 赋能信号——即对手能够成功使用模型开发有害软件这一事实——正是我们希望检测系统尽早捕捉到的。
相比之下,我们的加法模型独立地保留了来自每个维度的信号,这意味着部分攻击赋能模式仍然可见。其代价是,我们的分数并非对攻击是否成功的预测;相反,它们是衡量一个涉及 AI 的滥用案例有多令人担忧的指标。正如我们将在下文讨论的那样,我们还可以使用这些分数来查看 ATT&CK 框架中哪些特定部分最令人担忧,并将其与高风险行为者活动的区域相关联。
了解更多
网络威胁行为者如今如何使用 AI
How cyber threat actors are using AI today
我们对 13,873 种观察到的技术进行的实证分析,揭示了对手在攻击生命周期中如何使用 AI 的清晰模式,以及当今模型最常被用于哪些技术。
AI 辅助的能力开发
AI-assisted capability development
我们观察到的最常见技术族是 ATT&CK ID T1587(开发能力),在我们分析的 832 个行为者中,有 574 个使用了该技术,占 69%。这种行为的大部分表现为 T1587.001(恶意软件开发),有 560 个行为者使用。在实践中,我们观察到威胁行为者滥用模型来构建和完善自定义脚本以运行、编写带有详细实现指导的 DLL 注入代码,以及进行画布指纹识别规避和自动化账户管理。
其次最普遍的技术是 T1027(混淆文件或信息),被 64.7% 的威胁行为者使用;T1005(来自本地系统的数据),被 55.9% 的威胁行为者使用;以及 T1562(削弱防御),被 54.9% 的威胁行为者使用。这些顶级技术共同表明,威胁行为者最常寻求 LLM 的帮助来构建交战前的攻击工具、使这些工具更难被检测,以及从受感染的系统中收集数据。

另一方面,行为者一旦进入目标网络后,使用 LLM 进行实时、自适应决策的可能性要小得多。例如,832 个威胁行为者中只有 54 个(6.5%)使用模型进行横向移动,而使用模型进行远程服务(如 RDP、SSH 和 SMB)的行为者不到 12 个。只有 22.5% 的行为者使用 LLM 进行权限提升和影响阶段。
一些真实世界网络攻击中的常见技术族——例如活动目录利用、Kerberos 票据攻击、云基础设施操纵(AWS、Azure、GCP)和容器逃逸——在数据集中的代表性明显较低。
顶级技术以及行为者使用它们的频率在我们研究的一年期间内变化不大。在该期间的上半年和下半年,模型被用于的技术的中位数都是 16 种。在一年中的下半年,我们观察到一个微妙的趋势转变,威胁行为者使用模型来构建独立恶意软件或混淆脚本的情况减少,而更多地用于帮助网络攻击中的特定操作阶段,以及用于目标上的发现和收集技术。具体来说,我们观察到 T1087(账户发现)的发生次数增加了 8.9%,T1020(自动外泄)增加了 6.2%,同时 T1587(开发能力)减少了 12%,T1566(网络钓鱼)减少了 8.6%。
AI 辅助的规避战术
AI-assisted evasion tactics
防御规避是数据集中最大的单一战术类别,存在于我们研究的 84.4% 的行为者的行为中。MITRE 在“防御规避”下定义了 64 种技术(涵盖其企业版和移动版框架);我们在数据集中观察到了其中的 32 种技术:25 种用于企业,7 种用于移动。
在该战术中观察到的顶级技术包括:
- T1027(混淆文件或信息)。 样本中 64.7% 的威胁行为者使用 AI 来实现诸如 XOR/base64 编码、多态变体和反检测包装器等技术,以规避基于签名的检测。
- T1562(削弱防御)。 54.8% 的受研究威胁行为者使用 AI 来绕过、禁用或篡改端点安全工具。
- T1055(进程注入)。 30.3% 的行为者使用 AI 编写可注入到合法进程中的恶意代码,例如进程镂空和 DLL 注入,以便从受信任的进程内存中执行载荷。

使用频率较低的战术包括影响(2.8%)、外泄(2.8%)、权限提升(2.4%)和横向移动(0.7%)。这些合计仅占所有观察结果的 8.7%——还不及防御规避一个类别。这些行动都发生在攻击生命周期的后期阶段,表明威胁行为者在攻击的早期阶段使用模型更多,而在后期阶段使用较少——也就是说,一旦他们渗透进网络并在实时环境中适应情况时。这种模式在我们研究的一年期间内保持稳定。
高风险行为者及其战术
High-risk actors and their tactics
虽然像横向移动这样的战术在我们的数据集中不太普遍,但它们与最高的 ARiES 风险评分高度相关——这意味着最高风险的行为者也最有可能在网络攻击的后期阶段使用模型。使用 AI 进行横向移动的行为者,其风险评分平均比不使用 AI 工具进行此类操作的行为者高出 10.5 分。这表明,从使用 AI 为网络攻击做准备,到使用 AI 在实时网络操作中采取行动,是 AI 高度赋能的关键标志。

总体而言,风险评分最高的行为者最严重地使用 AI 进行入侵后、手动键盘操作技术,例如远程服务、凭证转储、Web Shell 部署以及内部网络和账户发现。横向移动是高风险行为者最强烈的标志:我们数据集中使用横向移动的 54 个行为者,其平均风险评分为 56.4,比平均值 46.8 高出近 10 分。没有其他技术具有如此接近的预测能力。
在技术层面,最高风险行为者最常使用的技术是 T1021(远程服务:SSH/SMB)、T1078.003(有效账户)、T1003(操作系统凭证转储)、T1560(归档收集的数据)和 T1505.003(Web Shell)。这些技术在最高风险行为者中的使用频率比总体人群高出三到五倍。
与此同时,最普遍的战术(如防御规避和资源开发)和商品化技术(如凭证填充和鱼叉式网络钓鱼)在最高风险和最低风险行为者中的使用频率大致相同,鉴于这些战术非常普遍,这并不令人意外。综合来看,数据表明,大多数威胁行为者使用 AI 在攻击的准备阶段构建恶意代码等工件,但最高风险的行为者不仅在攻击的准备阶段使用模型,还在入侵网络后的手动操作工作中使用模型。
我们还发现,威胁情报团队通常用来评估威胁行为者的属性——例如他们评估的技术技能、接口选择或使用的技术数量——是预测 AI 模型可能为特定威胁行为者提供多大提升的弱指标。技术复杂度,在从综合评分中移除以避免循环论证后,与剩余风险成分的相关性仅为 r = 0.28。事实上,完全移除这个特征后,排名前六的行为者顺序保持不变(所有 832 个行为者的 Spearman ρ = 0.96)。高风险尾部并非技术复杂度成分的产物。
技术覆盖广度与风险评分之间的相关性也仅为弱正相关(r = 0.27)。大多数行为者使用模型是为了零散的技术——事实上,我们数据集中的中位行为者部署了 16 种不同的 MITRE ATT&CK 技术——这种广度在五年前可能意味着一个资源充足、技术成熟的操作。

最后,接口选择也讲述了类似的故事——本研究中 80% 的行为者滥用了 Claude Code,使得智能体工具成为默认的访问模式而非区分因素,而仅限于对话界面、API 或智能体编码工具的行为者,其风险概况在统计上趋于一致,无法区分。
这告诉我们的是,从 AI 中获得最大提升的恶意行为者,不一定比其他行为者技术更精湛,也不一定使用编码工具或在杀伤链的多个步骤中使用 Claude;相反,他们只是将 Claude 用于更多的手动操作技术。
实时利用行为者数量上升
Live exploitation actors on the rise
正如我们上面讨论的,在 AI 赋能方面获得中等或更高评分的行为者比例,从研究第一个六个月期间的约 33.5% 增长到第二个六个月期间的约 56.1%——在不到一年的时间里增长了 1.7 倍。在这两个时期之间,该群体转移了约 22.6 个百分点:在第一个六个月期间,大多数行为者风险评分较低,而在第二个六个月期间,大多数行为者风险评分中等。
虽然改进的威胁检测技术可能促成了这一增长,但我们也看到越来越多的行为者要求模型执行更多操作性的、网络内部的工作,这些工作过去只出现在一个小得多的高风险行为者群体中。在研究的第二个六个月期间,我们看到更多专业化的行为者使用模型来构建利用工具、C2 基础设施和远程访问木马——但我们也看到更多低技能和中技能的行为者不仅使用模型进行准备性任务,还用于实时操作。我们从第一个六个月期间到第二个六个月期间观察到的 T1087(账户发现)增加 8.9% 和 T1020(自动外泄)增加 6.2%,与此一致:变得越来越频繁的技术,正是那些暗示行为者已经访问了网络的技术。
这对防御者意味着:AI 赋能的行为者群体不仅在增长,而且正在向我们框架中风险最高的活动漂移,而无需行为者自身变得更有技能。如果这种趋势持续下去,这些操作性技术将不再是区分因素,而会成为明天的基线——届时我们将需要找到一种新的方法来衡量风险最高的行为者。在下一节中,我们将讨论未来如何可能做到这一点。

AI 智能体时代的新颖性与复杂性
Novelty and sophistication in the age of AI agents
审视我们最高风险的威胁行为者也突显了,仅根据攻击技术的数量、类型或广度来计算 AI 赋能网络行动的风险是不够的。我们还需要一种方法来理解威胁行为者能够构建的脚手架,以将这些技术串联起来用于实时操作,这使他们能够使用 AI 模型在无需人工干预的情况下自主执行网络攻击的大部分环节。
我们分析了策划我们在 2025 年 11 月报道的 AI 赋能网络间谍活动的威胁行为者(标记为 GTG-1002)的行为,我们看到该行为者达到了最高可能的风险评分 100,成功入侵了多个国家的政府和关键基础设施目标,并开发了一个脚手架,将 Claude Code 用作自主操作者,而非顾问。然而,其整体的 MITRE 概况——跨越 13 种战术的 30 种技术——与本数据集中数十个中等风险行为者相当。中位行为者部署 16 种技术;几个低风险行为者也超过了 30 种。换句话说,仅凭技术数量或战术类型无法解释为什么 GTG-1002 是我们迄今为止观察到的最高风险行为者。
真正解释该行为者高风险评分的,是他们使用的日益智能化的组件:他们如何能够编排和串联技术以实现其目标。GTG-1002 将在 Kali Linux 机器上运行的 Claude Code 武器化,将开源渗透测试工具集成为 MCP(模型上下文协议)服务器——有效地将 AI 转变为一个自主攻击平台,而非代码编写助手。AI 不仅建议命令或生成攻击脚本;它还执行这些命令并自主推理攻击环境。他们“智能体性”的一些迹象通过我们追踪的技术类型间接显现出来;GTG-1002 采用了诸如 T1021.004(远程服务:SSH)、T1210(利用远程服务)和 T1560(归档收集的数据)等操作性技术。但主要的区分因素是:
- 阶段内的自主执行:GTG-1002 部署了在 Kali 机器上运行的 Claude Code,以自主编排数十个 MCP 工具操作——在侦察期间扫描和映射数十个面向互联网的服务,然后一旦进入网络,发现内部管理门户、数据库、日志服务器和时间工作流系统。AI 不仅建议