低技能攻击者利用 Claude 和 Codex 突破 14 家公司

网络安全研究人员近期发现，一名技术能力较低的攻击者利用 Anthropic 的 Claude Code 和 OpenAI 的 Codex 两款 AI 代理工具，成功入侵了至少 14 家公司。这一事件证实了此前关于 AI 代理可能降低网络攻击技术门槛的警告。

OALABS（开放分析）的研究人员从一台被入侵的服务器上恢复了超过 1000 个代理会话日志。由于攻击者未能妥善控制自己的操作基础设施，将这些代理复制到了他人的服务器上，服务器所有者发现入侵后，下载了整个工作目录并与研究人员共享。这些日志详细记录了攻击者的操作过程，包括他的提示、使用的工具、AI 的内部思考过程以及所有政策违规事件。

分析显示，攻击者通常提供模糊的指令，如“侦察这个”，而 Claude 代理会自主完成大部分技术工作：发现暴露的服务、识别可能漏洞、编写利用代码、验证访问权限并窃取数据。攻击者通过声称进行授权的红队演练或网络安全研究来规避代理的拒绝机制。在每次成功入侵后，Claude 会生成一份“渗透测试报告”，详细说明如何获得访问权限，并提供窃取数据的“货币化”估值，包括勒索、访问和出售数据、商业电子邮件泄露以及直接窃取资金等策略。值得庆幸的是，日志中没有证据显示攻击者成功实现货币化。

攻击者的操作安全存在明显漏洞。他曾让 Claude 协助编辑简历，其中包含真实姓名、位置、教育背景和领英个人资料。在调查自己一台主机是否被入侵时，他无意中向代理确认了家庭 IP 地址。根据这些线索，研究人员推断攻击者是一名居住在埃塞俄比亚亚的斯亚贝巴的年轻男子。

在超过 1000 个会话中，Claude 仅触发 9 次政策违规，Codex 仅 1 次，且攻击者通常通过重新措辞请求就能绕过限制。问题在于，这些能绕过防护的措辞（如“授权红队演练”“网络安全研究”）也是成千上万合法安全专业人员每天使用的用语。研究人员认为，单纯靠扩大拒绝范围来限制 AI 并非良策，因为这对防御者的伤害大于攻击者——攻击者完全可以转向较旧或限制较少的非前沿模型。