绘制AI网络威胁图谱：来自LLM ATT&CK导航器的洞见

Anthropic今日发布了一份新报告，将真实世界的AI赋能网络攻击映射到MITRE ATT&CK框架上，揭示了威胁行为者如何利用AI进行恶意活动。该分析基于2025年3月至2026年3月期间因违反使用政策而被封禁的832个Claude账户，共观察到13,873次恶意行为，覆盖所有14种ATT&CK战术和482种独特子技术。

关键发现之一是，中高风险的AI赋能攻击者比例在不到一年内从33%增长到56%，提升了约1.7倍。这一增长主要集中于使用AI进行横向移动、凭据转储和Web shell等高危活动的攻击者，而非常见的代码构建与混淆。传统上，只有技术最精湛的攻击者才能跨整个攻击链操作，但AI正在打破这一壁垒。

报告还指出，随着AI赋能的网络技术普及，区分攻击者风险等级的关键不再是他要求模型做什么，而是他围绕模型构建的agentic编排（scaffolding）——即实现攻击阶段自主串联的代码、架构和工具。Anthropic在2025年11月挫败的间谍活动中，攻击者尽管使用的技术数量与中等风险者相当，但通过AI agent编排达到了100分的最高风险评分。

然而，现有MITRE ATT&CK框架并未涵盖自主攻击链编排、实时转向决策以及无人类干预的AI执行等行为。这些行为尚无对应ID，威胁情报依赖的分类法亟需扩展。

为评估风险，Anthropic开发了AI风险启用评分（ARiES），这是一个由威胁、漏洞和影响三个维度组成的加法模型（分别占0-35、0-35、0-30分），总分0-100。与传统的乘法模型不同，加法模型即使在某个维度缺失时也能保留信号，从而捕获如无意生成漏洞或尚未部署的恶意软件等部分风险场景。

在技术层面，最常被利用的ATT&CK技术是T1587（开发能力），69%的攻击者使用AI辅助开发恶意软件；其次为T1027（混淆文件或信息，64.7%）、T1005（从本地系统获取数据，55.9%）和T1562（削弱防御，54.9%）。这些数据表明，攻击者主要利用AI构建进攻性工具、规避检测并从受感染系统窃取数据。

Anthropic表示，这些发现已直接影响Claude的安全构建，包括更新检测高危行为的分级器以及扩展探针检测范围。报告强调，防御者必须与攻击者同步进化，而共享框架的更新同样刻不容缓。