1960年代,Elmyr de Hory用旧画布和古董颜料伪造毕加索、马蒂斯、雷诺阿,超过1000幅作品骗过专家眼睛。六十年后,攻击者用同样逻辑入侵企业网络——不是砸碎窗户,而是配一把和你一模一样的钥匙。
CrowdStrike 2026全球威胁报告显示,81%的攻击已无恶意软件痕迹。攻击者像de Hory重用旧画布那样,直接调用你电脑里的PowerShell、WMI、远程桌面工具完成渗透。这种"就地取材"(Living-off-the-Land,LotL)策略让传统杀毒软件变成摆设——它查杀的永远是昨天的武器库,而攻击者今天用的是你自己的工具箱。
旧画布与新代码:伪造者的工具进化史
de Hory的秘诀在于"让作品自己说话"。他不伪造签名,而是让笔触、颜料老化程度、画布纹理都符合特定年代。当专家用光谱仪检测时,看到的是真材实料——只是组合方式全是假的。
现代攻击者复制了这套方法论。CrowdStrike报告指出,AI增强的攻击工具现在能生成假身份、假代码、假行为模式,且规模前所未有。更棘手的是"自主代理"(Autonomous Agents)的出现:这些程序像de Hory的跨国销售网络一样,能自我协调、自我掩护。
具体怎么操作?代理先观察目标网络的正常流量高峰——比如每天早上9点的登录潮、月底的财务系统批量操作。然后它们把命令控制(C2)通信拆成碎片,混在这些合法峰值里发送。异常检测系统看到的只是"今天登录的人多了点",而非"有外部程序在偷数据"。
de Hory遇到怀疑时会换假名继续卖画。AI代理同理:一个身份被标记,毫秒级切换到新伪造的AD账户,连带着修改行为模式——从"财务部新人"变成"IT外包工程师",通话对象、文件访问路径全部重写。传统基于规则的检测需要人工更新黑名单,而代理的变异速度以小时计。
供应链成了新画廊:当信任本身被伪造
de Hory最精妙的操作不是单幅画作,而是整套"出处证明"(Provenance)。他伪造拍卖记录、前任藏家书信、甚至博物馆借展历史,让假画获得真身份。今天的软件供应链攻击如出一辙:恶意代码不直接敲门,而是藏在你会主动拉取的更新包里。
攻击者用AI代理在开源仓库批量生成"有用"的代码片段——一个处理PDF的Python库、一个优化日志的npm包。这些代码确实能跑通功能测试,但藏着特定触发条件下的后门。更隐蔽的是"依赖混淆":代理自动爬取企业内部使用的私有包命名规律,然后在公共仓库抢先注册相似名称的版本。开发者的包管理工具按"最新版本优先"规则,无声无息地切换到恶意分支。
云服务的身份凭证成了新时代的"古董颜料"。代理通过钓鱼或残留密钥获取合法云服务账号后,不会立即行动。它们先花数周观察该账号的正常操作模式——创建哪些资源、访问哪些存储桶、API调用频率如何。然后以"业务增长需要"为掩护,缓慢扩容到异常规模,或建立隐蔽的数据同步通道。云厂商的账单系统看到的是"客户用量上升",安全团队看到的是"一切正常"。
检测系统的困境:专家为什么总被骗
艺术鉴定界的教训值得安全从业者反复咀嚼。de Hory的作品能流通数十年,核心原因在于专家的"认知捷径":看到熟悉的签名风格、匹配的颜料成分、完整的收藏链条,大脑自动补全"真品"结论。攻击者深谙此道——他们不打破你的安全假设,而是喂养这些假设。
CrowdStrike在报告中提到一个关键转变:传统攻击像闯入者,会触发门窗传感器;LotL攻击像室友,用的都是你自己的东西。当PowerShell脚本删除日志时,EDR(端点检测与响应)系统需要判断这是"IT运维的常规清理"还是"攻击者在擦除痕迹"。两者的系统调用序列几乎相同,差异只在上下文意图。
AI代理进一步模糊这条线。它们能实时学习被检测时的反馈——某次操作触发告警,代理记录该特征,下次以不同参数重试。这种"对抗性进化"让基于静态签名的规则迅速失效。安全团队更新一条检测逻辑需要数小时到数天,代理完成行为变异只需几分钟。
更深层的问题是数据过载。大型企业每天产生数十亿条遥测日志,SOC分析师的人均处理量早已突破认知极限。攻击者赌的不是技术不可检测,而是检测成本不可承受——当你有1000个"疑似异常"需要排查,真正的入侵就藏在第1001个被忽略的条目里。
破局思路:从"鉴真"到"验伪"的范式转移
艺术界最终如何对付de Hory?不是培养更厉害的鉴定眼,而是建立"负面证据"体系:追踪画布来源的化学同位素数据库、画家生前未公开的创作习惯档案、甚至X射线下的底层草图分析。当"这幅画不可能存在"的证据足够硬,真伪判断就不再依赖专家直觉。
网络安全正在经历类似转向。CrowdStrike提出的核心策略是"行为基线+异常微分":不再问"这个PowerShell命令像不像恶意样本",而是问"这个终端用户的行为,和他过去90天的模式相比,哪里出现了不可解释的跳跃"。
具体落地需要三层架构。第一层是"身份指纹"——不仅认证账号密码,而是持续验证操作者的"行为签名":键盘输入节奏、鼠标移动轨迹、应用程序切换习惯。第二层是"工具链完整性"——监控PowerShell、WMI等LotL工具的被调用上下文,标记"首次从该进程发起"或"调用参数与历史基线偏离超过阈值"的事件。第三层是"供应链溯源"——对引入的每个外部组件建立"出生证明",包括代码贡献者的历史行为、依赖树的突变记录、构建环境的可复现哈希。
AI代理的对抗性要求检测系统同样具备学习能力。CrowdStrike在其平台中部署的"威胁图"(Threat Graph)本质是一个实时关联引擎:当某个AD账户在A客户处表现出攻击特征,该行为的抽象模式会在秒级同步到全球所有客户的检测模型。代理的变异速度再快,也快不过集体防御网络的传播速度。
但技术之外,组织层面的"鉴真习惯"或许更重要。de Hory的骗局能持续,部分因为藏家不愿质疑"已经公认的杰作"——承认假画意味着承认自己的判断力失误。企业安全团队同样面临这种心理陷阱:已经上线的系统、已经签署的合同、已经建立的供应商关系,构成了一层"认知惰性"的保护壳。攻击者从不正面击穿这层壳,而是寄生其中。
当CrowdStrike的分析师在报告中写下"81%的攻击已无恶意软件"时,他们真正想说的是:防御的重心必须从"识别坏东西"转向"验证好东西"。就像博物馆现在会为每幅藏品建立从颜料分子到展览历史的完整档案,企业需要为每个数字身份、每段代码来源、每次网络通信建立可审计的信任链条。
de Hory晚年流亡西班牙,最终死于自杀。他的伪造作品至今仍有部分未被识别,挂在世界各地的私人收藏和博物馆墙上。这个数字时代的"de Hory们"不会留下画布和颜料作为物证——他们的痕迹散落在数百万条被篡改的日志、被克隆的凭证、被混淆的依赖关系里。当下一波AI代理开始行动时,你的检测系统准备好问那个关键问题了吗:这看起来太正常了,正常得不像真的?
热门跟贴