以前,网络攻击的成本很高,因为需要熟练的人类操作员来导航内部网络并定制漏洞利用程序。现在,自主 AI 蠕虫使用开放权重模型来自动化整个攻击生命周期,无需任何人工干预。这种从手动到机器速度利用的转变使得传统的基于周边的防御模型过时了。
多伦多大学的研究人员最近通过创建一个由公开可用的 AI 模型驱动的原型蠕虫展示了这一转变。与过去的静态蠕虫不同,该代理具有推理能力,使其能够实时调整策略。它能识别漏洞,为 Linux、Windows 和 IoT 设备制作特定平台的漏洞利用程序,并在没有外部命令与控制服务器的情况下管理横向移动。逻辑转向了一种范式,即专业知识短缺不再是对手的瓶颈。
专业知识短缺作为“无声盟友”的崩溃
几十年来,企业安全依赖于攻击者受限于人力资源的假设。复杂的攻击需要一个专家团队来研究目标、发现缺陷并手动在网络中转移。这种劳动密集型过程在发现漏洞与其被广泛利用之间创造了天然的延迟。安全团队利用这个窗口进行补丁管理和威胁狩猎。
多伦多大学的原型消除了这种延迟。通过集成开放权重 AI 模型,蠕虫获得了在移动时解释数据的能力。它窃取密码,分析配置文件,并理解其所处环境的上下文。在实践中,这意味着攻击者不需要成为每个平台的专家。AI 模型按需提供必要的知识。曾经作为防御优势的专业知识短缺现在已变得无关紧要。一场复杂的多平台攻击活动的成本降至运行模型所需的电力价格。
跨平台自主性与机器速度横向移动的现实
传统的蠕虫通常很脆弱。它们针对特定的服务或单一的操作系统版本。如果环境发生变化,蠕虫就会失效。AI 驱动的蠕虫通过使用其内部推理来识别各种软件栈,从而避免了这一限制。如果它遇到未打补丁的 Linux 服务器,它会执行已知的内核漏洞利用。如果它发现 Windows 工作站,它会转向凭据收割或基于 SMB 的攻击。
这种适应性创造了一种情况,即单一的感染向量会导致整个网络沦陷。蠕虫不仅仅是执行脚本;它还会做出决策。它优先处理高价值目标,并识别通往敏感数据的最有效路径。在多伦多大学的测试网络中,该蠕虫证明了即使在应用补丁后,感染仍可能持续。如果蠕虫已经移动到另一台机器或确保了多个入口点,那么堵住最初的漏洞是不够的。蠕虫只需找到另一条返回目标的路径。
现代恶意软件的资源自给自足
多伦多研究中最令人担忧的方面之一是蠕虫的自给自足性。启动高性能 LLM 需要巨大的算力,这通常是攻击者的成本负担。为了解决这个问题,蠕虫从受感染的机器中抽取处理能力,为其自身的推理引擎提供动力。
这种架构创造了一种自我维持的威胁。蠕虫感染的机器越多,它可支配的智能就越多。这种分布式推理模型允许蠕虫在不需要大规模后端基础设施的情况下扩展其复杂性。系统沦陷不再仅仅是关于数据窃取;它还关乎防御所需的计算资源被窃取。逻辑从集中式威胁转向了去中心化的自主集群,随着传播而变得更加智能。
前沿模型与漏洞狩猎的工业化
为了衡量这种威胁的规模,必须看看前沿模型最近在漏洞研究中的表现。Anthropic 的 Mythos 模型最近在合作伙伴系统中识别了超过 10,000 个缺陷。Cloudflare 使用这项技术发现了 2,000 个漏洞,其中 400 个被归类为高危或严重。这种发现量远远超出了任何人类安全团队的回应能力。
虽然多伦多大学的蠕虫目前利用的是已知缺陷,但集成像 Mythos 这样的发现模型是不可避免的。当自主蠕虫能够发现自己的 0-day 漏洞时,传统的补丁周期概念就变得毫无意义。漏洞利用的时间窗口完全消失。在这种环境下,一个在发现缺陷后几分钟内未打补丁的系统就是一个已经沦陷的系统。
架构影响与周边的消亡
自主蠕虫的存在证明了周边防御已经消亡。如果 AI 代理可以通过推理穿过网络,那么防火墙仅仅是一个暂时的延迟。未分段的遗留系统对于一个能够思考如何绕过障碍的实体来说是一扇敞开的大门。明确地说,任何允许不受限制横向移动的内部网络都是自主蠕虫的游乐场。
架构韧性是唯一可行的前进道路。这需要从“信任但验证”模型转向严格的零信任架构。在零信任环境中,服务器之间的每笔交易和每次移动都需要明确的身份验证和授权。必须通过微隔离来限制感染的爆炸半径。如果蠕虫感染了一个 IoT 设备,它应该发现自己处于一个独立的单人牢房中,无法看到或与网络的其余部分通信。
未来 12 个月的战术行动计划
在自主 AI 威胁时代生存取决于架构和速度。CISO 必须从被动姿态转变为主动、自动化的防御策略。以下步骤为未来 6-12 个月提供了路线图。
- 实施细粒度微隔离:审计所有内部网络流量并实施严格的分段。确保不同部门、应用程序和设备类型相互隔离。默认情况下必须禁止横向移动。
- 通过自动化加速补丁管理:以“每月一次”的节奏进行补丁管理是已不复存在的奢侈。为关键基础设施实施自动补丁,并使用 AI 驱动的工具根据可利用性确定修复的优先级。
- 部署 AI 驱动的威胁狩猎:人类 SOC 分析师无法跟上机器速度的蠕虫。在安全栈中部署 AI 代理,以监控异常行为,例如意外的计算峰值或异常的内部扫描。
- 强制执行基于身份的访问:消除网络中所有的隐含信任。无论是内部还是外部连接,都必须通过多因素身份验证和基于身份的策略进行验证。
- 审计 IoT 和遗留组件:遗留系统和 IoT 设备是蠕虫最常见的入口点。将这些设备隔离在沙箱环境中,并限制它们对更广泛企业网络的访问。
- 不可变备份和灾难恢复:假设沦陷将会发生。维护所有关键数据的不可变离线备份。定期进行演习,以确保组织在发生全网络清除的情况下能够从头开始恢复系统。
企业安全的新现实
多伦多大学开发的原型是对整个行业的警告。人类攻击者的时代正在结束,自主代理的时代正在开始。安全不再是人类智慧的战斗;它是架构速度和机器推理的战斗。目标不是防止每一次入侵,而是确保系统沦陷不会演变成灾难。未能使其架构适应这一新现实的组织将发现自己在面对一个永不眠、永不疲倦且能从每一次失败尝试中学习的威胁时无能为力。
来源: University of Toronto research, Anthropic (Mythos model), Cloudflare Security Research, Nicolas Papernot (University of Toronto).
免责声明:本文仅供参考和教育目的,不替代专业的网络安全审计或事件响应服务。
