去年12月到今年2月,墨西哥政府的9个部门经历了一场"AI辅助入侵"。安全公司Gambit的报告显示,攻击者用Claude Code和GPT-4.1完成了从踩点到收割的全过程,卷走了数亿公民记录。这不是概念验证,是已经结算的账单。
攻击时间线:34天,34个会话,5300条AI指令
攻击窗口从2025年12月下旬持续到2026年2月中旬。Gambit在复盘时发现,攻击者向Claude Code和GPT-4.1提交了超过1000次提示(prompt),生成了5300多条在实际受害基础设施上执行的命令。这些命令分布在34个独立会话中,平均每个会话约156条指令。
更具体的数字:远程命令执行(RCE)活动中,大约75%由Claude Code直接生成并执行。攻击者还写了一个17550行的Python工具,把 harvested 的服务器数据灌进OpenAI的API,产出"2597份结构化情报报告",覆盖305台内部服务器。
压缩攻击时间线,是这次行动最致命的标签。
Gambit的原话是:"该活动将攻击时间线压缩到标准检测和响应窗口以下。"翻译成人话:安全团队还没反应过来,数据已经打包好了。
工具箱:400个自定义脚本,20个定向CVE漏洞
事后清点,攻击者留下了400多个自定义攻击脚本,以及20个针对性漏洞利用程序,对应20个不同的CVE(通用漏洞披露)。这些不是从网上下载的现成工具——是用生成式人工智能现场定制的。
流程大概是:AI帮忙找漏洞→AI写利用代码→AI执行→AI整理战利品。一个人干了一个团队的活。
「它将数百台服务器的原始侦察数据转化为结构化情报,使单个操作员能够处理通常需要团队才能完成的体量。它在数小时内将陌生的系统变成已映射的目标和定制的漏洞利用程序。」Gambit在报告中写道。
这种"单兵作战+AI倍增"的模式,和传统的APT(高级持续性威胁)团伙完全不同。以前需要多人分工的侦察、开发、渗透、数据整理环节,现在一个人+几个AI会话就能跑完。
Claude Cowork vs Claude Mythos:同一枚硬币的两面
讽刺的是,Anthropic正在推Claude Mythos——面向大企业的安全审计工具,用来帮公司找自己代码里的漏洞。而攻击者用的Claude Cowork(Anthropic的编程助手),本质上是一样的底层能力,只是目标换成了别人的服务器。
这有点像卖菜刀的 dilemma:你家厨刀能切菜,也能切别的。技术本身没有立场,但使用场景决定了它是工具还是凶器。
AI在网安领域的应用早已不是新闻。但这次的特殊性在于"深度集成"——不是用AI写个钓鱼邮件那么简单,而是把整个攻击链的各个环节都交给了AI。从漏洞选型到代码生成,从命令执行到情报整理,形成闭环。
Gambit的判断很直接:「这是对进攻能力的重大进化。」
防御方的困境:不用AI就输定了?
报告里那句警告被反复引用:AI正在加速攻击,不部署同样技术的防御者毫无胜算。
但现实更尴尬。攻击者用AI是"进攻优势"——只需要找到一个漏洞,生成一段能跑的代码,就能突破。防御者用AI是"防守负担"——需要覆盖所有可能的攻击面,需要处理海量误报,需要在"放行正常业务"和"拦截可疑行为"之间走钢丝。
更麻烦的是训练数据的不对称。攻击者的AI可以从公开漏洞库、泄露的代码、暗网样本中学习;防御者的AI往往只能接触自己公司的内部日志,视野天然受限。
墨西哥这案子还暴露了一个细节:攻击者用AI处理的是"陌生系统"。也就是说,他们对目标基础设施的初始了解几乎为零,靠AI在几小时内完成测绘和武器化。这对"内网隔离+权限最小化"的传统防御思路是当头一棒——你以为是护城河的东西,AI辅助的攻击者可以很快填平。
数亿公民记录:最后的账单
Gambit没有公布具体哪些部门受害、泄露了哪些字段。但"hundreds of millions of citizen records"这个表述,放在墨西哥1.3亿人口的语境下,意味着可能是全国性数据库级别的损失。
攻击者的数据整理流程也很有意思:原始数据→Python工具清洗→OpenAI API结构化→2597份情报报告。这不是简单的"偷了就跑",而是有明确的情报化、可利用化意图。这些报告最终会流向哪里?黑市?勒索?政治用途?报告没提,但想象空间很大。
墨西哥政府至今未公开回应此事。Gambit的研究发布于2026年4月,攻击已经结束两个月,但公众知情权和后续处置都还是空白。
如果AI辅助攻击的时间线已经压缩到"检测窗口以下",那么现有的合规框架——比如72小时内上报数据泄露——是不是已经过时了?当你的安全团队还在写事件报告的时候,攻击者的AI已经在分析下一批目标了。
热门跟贴