AI工具变身威胁：边界防御终结？企业AI成内鬼

随着国家级行为者开始将人工智能工具武器化，使其成为强大的攻击工具，网络安全领域正经历一场深刻的变革。这一转变预示着传统边界防御的潜在终结，因为企业为提高生产力而采用的AI技术，可能成为其最严重的内部威胁。这一新现实的证据来自乌克兰，俄罗斯国家资助的黑客组织APT28正在积极部署由大型语言模型（LLM）驱动的恶意软件。

上个月，乌克兰计算机应急响应小组（CERT-UA）记录了LAMEHUG，证实了首例由LLM驱动的恶意软件在现实世界中的部署。LAMEHUG被归因于APT28，它利用被盗凭据访问AI模型，特别是Hugging Face API令牌，以实时查询AI模型。这使得动态攻击成为可能，同时向受害者显示分散注意力的内容。Cato Networks的研究员维塔利·西蒙诺维奇（Vitaly Simonovich）强调，这些并非孤立事件，而是对乌克兰网络防御的探测，反映了全球企业日益面临的威胁。

西蒙诺维奇向VentureBeat展示了一个严峻的演示，揭示了任何企业AI工具如何在不到六小时内被改造为恶意软件开发平台。他的概念验证成功地将OpenAI、微软、DeepSeek等领先的LLM转换为功能性密码窃取器。至关重要的是，这是通过一种轻松绕过这些AI系统内所有当前安全控制的技术实现的。

国家级行为者部署AI驱动的恶意软件与研究人员展示企业AI工具固有漏洞的快速融合，恰逢AI应用的爆炸式增长。2025年Cato CTRL威胁报告指出，在超过3000家企业中，AI工具的使用量显著激增。值得注意的是，Copilot、ChatGPT、Gemini、Perplexity和Claude等主要平台在2024年第一季度至第四季度期间，采用率分别增长了34%、36%、58%、115%和111%。

APT28的LAMEHUG以惊人的效率展现了AI战争的新形态。该恶意软件通常通过冒充乌克兰官员的网络钓鱼邮件传播，邮件中包含自包含的可执行文件。执行后，LAMEHUG使用大约270个被盗令牌连接到Hugging Face的API，查询Qwen2.5-Coder-32B-Instruct模型。该组织的欺骗策略采用双重设计：当受害者查看看似合法的乌克兰政府网络安全文件时，LAMEHUG同时执行AI生成的命令进行系统侦察和数据收集。第二个更具挑衅性的变体则显示AI生成的“卷发裸女”图像，以在数据外泄期间进一步分散受害者的注意力。出生于乌克兰并在以色列网络安全领域拥有丰富经验的西蒙诺维奇指出：“俄罗斯将乌克兰作为其网络武器的试验场。这是首次在野外捕获到的此类案例。”

西蒙诺维奇在Black Hat大会上的演示强调了为什么APT28的策略应该引起每位企业安全领导者的警惕。他没有任何恶意软件编码经验，却使用他称之为“沉浸式世界”的叙事工程技术，将消费级AI工具变成了恶意软件工厂。这种方法利用了LLM安全控制中的一个根本性弱点：虽然直接的恶意请求会被阻止，但很少有AI模型（如果有的话）能承受持续的叙事引导。西蒙诺维奇创造了一个虚构的世界，其中恶意软件开发是一种艺术形式，他为AI分配了一个角色，然后逐渐引导对话生成功能性攻击代码。通过迭代调试会话，AI不断完善错误代码，西蒙诺维奇在六小时内就拥有了一个可用的Chrome密码窃取器。AI以为自己正在帮助编写一部网络安全小说，从未意识到它正在创建恶意软件。

进一步加剧威胁的是，一个蓬勃发展的地下市场正在出现，提供未经审查的AI功能。西蒙诺维奇发现了多个平台，例如Xanthrox AI，它提供了一个与ChatGPT界面相同但没有安全控制的平台，每月收费250美元。为了说明其缺乏防护措施，西蒙诺维奇输入了核武器指令的请求，该平台立即开始网络搜索并提供了详细指导。另一个平台Nytheon AI则显示出更低的操作安全性，提供了一个经过微调、未经审查的Meta Llama 3.2版本。这些不仅仅是概念验证；它们是完整的运营业务，包含支付处理、客户支持和定期模型更新，甚至提供为恶意软件创建优化的“Claude Code”克隆。

AI在娱乐（2024年第一季度至第二季度增长58%）、酒店（43%）和交通（37%）等行业的快速普及意味着，这些不是试点项目，而是处理敏感数据的生产部署。这些行业的首席信息安全官和安全负责人现在正面临着一年到十八个月前尚不存在的攻击方法。令人不安的是，供应商对Cato关于“沉浸式世界”技术的披露反应不一，从微软数周的修复到DeepSeek的完全沉默，以及OpenAI的缺乏参与。谷歌因存在类似样本而拒绝审查代码。这揭示了构建这些普及型AI平台的公司在安全准备方面存在令人担忧的差距。

APT28对乌克兰部署LAMEHUG并非警告；它是西蒙诺维奇研究的实际操作证明。开发国家级攻击的传统专业知识壁垒几乎消失了。统计数据触目惊心：270个被盗的API令牌驱动着国家级攻击，地下平台每月250美元即可获得相同功能，任何企业AI工具都可以在六小时内通过对话操纵转化为功能性恶意软件，无需任何编码。武器已经潜藏在每个组织内部，伪装成生产力工具。