本文来自微信公众号: 硅星GenAI ,编译:周华香,题图来自:AI生成
11月中旬,AI公司Anthropic发布了一份听起来很吓人的报告(《阻断首个AI编排的网络间谍活动》):他们声称抓到了一个黑客组织,利用Claude AI工具对全球30家企业发动了自动化攻击。更劲爆的是,报告说这些攻击有80%~90%是AI自主完成的,几乎不需要人工干预。
《华尔街日报》和《纽约时报》很快跟进报道,渲染“AI黑客时代”的到来。但在网络安全圈,反应却截然不同。
一位安全行业的专业人士djnn.sh发表了一篇博文《Anthropic的报告闻起来就像狗屁》(Anthropic’s paper smells like bullshit),迅速成为HackerNews上的热门讨论帖。他用行业标准逐条拆解了这份报告,揭示出一个尴尬的事实:这更像是一场精心策划的营销活动,而不是一份严肃的技术报告。
一、一份“空心”的威胁报告
djnn开门见山地指出,在网络安全行业,威胁情报报告有一套严格的规范。简单说,就是要给出“证据”——让其他安全团队能够根据你的报告,在自己的网络里查找攻击痕迹,判断是否也遭到了类似攻击。
一份合格的报告应该包含什么?
IOCs(威胁指标):攻击者使用的域名、IP地址、恶意文件的哈希值
具体工具:用了什么黑客工具?什么版本?
攻击手法:怎么入侵的?利用了哪些漏洞?
时间线:什么时候发现的?攻击持续了多久?
防御建议:如何检测和防范类似攻击?
djnn举了个例子:法国CERT(计算机应急响应小组)发布的APT28报告,详细列出了钓鱼邮件地址、源IP、使用的VPN工具,甚至攻击的具体时间节点。任何一个安全团队拿到这份报告,都能立刻去查自己的日志,看看有没有中招。这是威胁情报共享的行业标准。
那Anthropic的报告呢?
djnn翻遍了整份文档,发现:一个IOC都没有。
没有域名,没有IP地址,没有文件哈希,什么实质性的技术信息都没有。报告里充斥着“高度复杂”、“专业协调”这样的形容词,但就是不告诉你具体是什么。
比如报告说:“Claude在目标网络中执行系统化的凭证收集,涉及查询内部服务、提取身份验证证书。”
听起来很厉害。但djnn的质疑很直接:怎么做的?用的是Mimikatz这种凭证窃取工具吗?攻击的是云环境还是本地网络?什么系统受影响了?
报告对这些关键问题统统不提。
还有那个著名的“80%~90%自动化”——这个数字怎么算出来的?什么叫“自动化”?是AI写了自动化脚本,还是AI真的在做决策?报告没说。
更尴尬的是,Anthropic还悄悄改了一处描述。最初他们说攻击达到了“每秒数千次请求”,后来这句话被改成了“数千次请求,通常每秒多次”——意思完全不一样了。
djnn特别指出了报告中一句模糊的表述:“我们通知了相关当局和行业合作伙伴,并在适当的情况下与受影响的实体分享了信息。”
他的反问很有力:“这到底是什么意思?你们声称在多个服务中发现了可利用的漏洞,这些漏洞修补了吗?被窃取的数据呢?受影响的用户呢?你们关心这些问题吗?”
二、HackerNews:专业人士的吐槽大会
当这份报告被发到HackerNews上,技术社区炸了锅。一群真正懂行的人开始逐条拆解这份报告。
“我们也用过AI做安全测试,没那么神”
一位自称在大型科技公司工作过的工程师说:“我们当时被要求用一个专门优化过的AI模型来做渗透测试,目标是个模拟打印机和Linux服务器。说实话,AI确实有点用,但也就那样。特别是在复杂的攻击协调上,根本看不出能有多大作用。”
他还提出了一个实际问题:“Claude的API要绑信用卡付费的,黑客用这种公开系统来搞命令控制,不怕被追踪吗?”
另一位正在创业做自动化渗透测试工具的人则更乐观:“现在的AI模型确实比以前强多了。我们从Llama 3.1用到Claude 4.5,进步很明显。有一次我们的beta测试者在一个500个IP的Active Directory网络里测试,AI一小时就拿到了域管理员权限。”
但他也承认关键问题:“AI最大的毛病是爱吹牛。它会说自己拿到了某些凭证,结果根本用不了;或者声称发现了机密信息,其实只是公开资料。这个问题到现在都没解决。”
“自动化攻击不是新鲜事”
好几个老安全人指出,报告宣称的“首次大规模自动化攻击”根本站不住脚。
“90年代的脚本小子就在搞自动化攻击了。Metasploit这种自动化渗透测试框架都存在二十多年了。”有人说,“报告里描述的那些东西——网络扫描、漏洞利用、凭证窃取——全都有现成的开源工具。哪一步是只有AI才能做的?一个都没有。”
网络安全研究员Kevin Beaumont更直接:“这份报告完全没有IOCs,强烈暗示他们不想在技术细节上被人质疑。这就是用一堆开源攻击工具拼凑出来的东西。”
“为什么AI给黑客的答复率这么高?”
还有一个有趣的吐槽来自安全公司Phobos Group的创始人Dan Tentler:
“我不相信攻击者能让AI乖乖干活,成功率还高达90%。我们这些正常用户天天被AI拒绝服务,或者得到一堆废话。为什么攻击者用AI就这么顺利?是他们有什么魔法吗?”
这个质疑道出了很多人的疑惑:如果AI的安全机制这么容易被绕过,为什么日常使用时这些机制又显得这么严格?
Anthropic自己的报告里其实也承认了:“Claude经常夸大发现,有时甚至编造数据。它可能声称获取了某些凭证,但这些凭证实际上无法使用;或者声称发现了关键信息,结果只是一些公开可访问的内容。”
这段话让很多人困惑:既然AI有这么明显的问题,那80%~90%的自动化率是怎么算出来的?
三、Anthropic的真实目的:卖产品
读到报告结尾,djnn发现了一个有趣的段落:
“网络安全社区需要认识到发生了根本性变化:安全团队应该尝试将AI应用于防御领域,例如SOC自动化、威胁检测、漏洞评估和事件响应…”
等等,谁在卖AI安全产品?答案是:Anthropic自己。
这就有意思了。先发布一份耸人听闻的报告,说AI黑客多么可怕,然后告诉你:要用AI来对抗AI,而我们正好有这个产品。
djnn在博客里写道:“这不是威胁情报报告,这是一份包装精美的产品广告。制造恐慌,然后推销解决方案——这套路在安全行业不新鲜,但做得这么明显的还真不多见。”
Berryville IML的研究人员在另一篇评论文章中也指出了同样的问题:“如果报告没有给出任何关于TTPs和检测的细节,那这份报告的目的到底是什么?答案就在报告结尾那段话里——推销AI防御产品。”
四、一个安全研究员的愤怒
djnn在文章最后说得很清楚:“很可能确实有黑客在用AI工具,这没人否认。但这不意味着我们可以接受没有证据的报告。”
他强调:“在任何严肃的领域,你不能光提出一个惊人的说法,然后拒绝给证据。威胁情报报告不是营销材料。它承载着帮助全球安全团队防御真实威胁的责任。当这个工具被用作营销手段时,不仅伤害了行业的专业性,也会让真正重要的安全警告失去公信力。”
“如果Anthropic愿意公开完整的技术细节和IOCs,我很乐意在博客上更正我的判断。但在那之前,我的结论是:这份报告无法通过任何严肃的技术审查。”
djnn的批评尤其严厉的一点是关于归因问题。报告声称将攻击归因于特定的国家级威胁组织,但没有提供任何归因依据——是哪个APT组织?什么技术特征帮助做出这个判断?
“归因是一件非常严肃的事情,可能产生外交影响。你不能在没有充分证据的情况下,随意指向某个国家。就现有证据来看,我们甚至无法排除这只是一群使用开源工具的初级攻击者。”
他在文章结尾写道:
“归根结底,这份报告就是一次可悲的产品推销尝试,不应该被当作其他任何东西。这是可耻的,极其不专业的。为了多卖一点产品而无视基本职业操守的做法,让我永远不想使用他们的产品。做得更好一点吧。”
五、写在最后
HackerNews上的讨论最终达成了一个基本共识:AI确实在改变网络安全的游戏规则,攻击者确实在尝试使用AI工具。但Anthropic这份报告的问题在于,它用一个缺乏证据的惊人声明来推销产品,而不是真诚地分享威胁情报。
正如djnn所说:“我们需要基于事实的证据,需要能够验证的信息。否则,任何人都可以说任何话,只要加上‘这可能正在发生’的前提。但这还不够好,远远不够。”
在AI重塑各个行业的当下,这个案例提醒我们:不是所有头部AI公司说的话都是真理。当一个惊人的说法出现时,问一句“证据在哪里”,永远不会错。
(本文主要内容编译自安全研究员djnn.sh的博客文章《Anthropic's paper smells like bullshit》,并综合了HackerNews社区的技术讨论。)