摘要:攻击者通过伪造MCP服务器、滥用AI为C2通道、投毒依赖链等方式,将企业信任的AI工具变成攻击跳板。

随着企业对AI技术和服务的依赖日益加深,攻击者也演变出滥用AI的新形态,不再仅仅依赖恶意软件,而是越来越多地滥用企业所依赖的AI工具,像过去依赖PowerShell等内置企业工具一样,利用AI系统发动攻击。例如给MCP服务器投毒,利用Claude等合法模型窃取敏感数据等。

打开网易新闻 查看精彩图片

从简单的提示词注入到“代理劫持”的转变,代表了AI威胁格局的根本性变化,攻击者不再只是试图欺骗聊天机器人,他们正在靠AI生存,滥用那些使AI助手变得有用的合法的自动化和记忆功能来攻击企业。

以下是攻击者如何利用基于AI的服务以发起攻击的一些示例。

1. MCP服务器

1. MCP服务器

2025年9月,攻击者推广了一个伪造的模型上下文协议服务器,该服务器模仿了将Postmark(ActiveCampaign旗下的交易性电子邮件服务)集成到AI助手中的技术。

这个虚假的MCP服务器包看起来是合法的,并在15个版本中作为合法工具运行,直到引入了一行代码变更,导致敏感通信(密码重置、发票、内部备忘录)在被检测到之前被悄悄窃取了数天。

这个恶意包在流行的Node.js包注册表上每周吸引1500次下载,使依赖该工具的企业暴露于某种形式的供应链攻击之下。

“这相当于AI领域的包注册表名称抢占,只是没有中央MCP机构验证服务器身份,也没有MCP服务器与其声称代表的组织之间的加密链接,”AI安全和MLOps平台Jozu的CEO Brad Micklea说。“这破坏了MCP部署前的信任模型。”

MCP服务器,是一种允许AI代理和聊天机器人连接到数据源、工具和其他服务,这些服务器向AI代理暴露工具、内存和API,以便它们能够执行任务,如果攻击者在该链中插入一个被投毒的工具、修改过的连接器或恶意检索源,AI代理可能会在不知情的情况下执行它。

最近MCP服务器已成为各种持续恶意攻击的目标。锁定这些系统以最小化风险已成为企业CISO的优先事项。

2. 滥用AI平台作为隐蔽的C2通道

2. 滥用AI平台作为隐蔽的C2通道

网络犯罪分子还通过将AI服务变成代理,将恶意流量隐藏在合法内容流中,从而滥用AI平台作为隐蔽的命令与控制通道。恶意软件不再运行专用的C2服务器,而是被编程为通过AI服务获取命令和窃取数据,在此过程中绕过传统的安全控制。

例如,SesameOp后门将命令流量隐藏在OpenAI Assistants API中,将对恶意软件的指令伪装成正常的AI开发活动;还有Check Point Research展示了如何通过公共Web界面操纵Microsoft Copilot和Grok,使其获取攻击者控制的URL并返回响应。这种行为为滥用AI系统打开了大门,而无需API密钥或经过身份验证的账户。

3. AI工作流中的依赖项投毒

3. AI工作流中的依赖项投毒

一些攻击并非直接攻击AI系统,而是通过对代理进行数据处理所依赖的下游依赖项进行投毒来进行攻击。

这类似于经典的供应链攻击,但代理型管道中被投毒的依赖项不仅会泄露数据,它还可以在没有任何可见异常的情况下改变代理的决策、工具选择或输出。

4. 双面代理

4. 双面代理

还有一些攻击者不是滥用企业传统IT基础设施的组件,而是将代理中的漏洞武器化。例如,Microsoft 365 Copilot中的“EchoLeak”命令注入漏洞表明,一封带有隐藏提示词注入指令的电子邮件就足以迫使AI助手在无需用户交互的情况下将内部文件和电子邮件泄露到外部服务器。

近期流行的“小龙虾”OpenClaw中的一系列漏洞为恶意网站完全控制开发者的AI代理创造了途径。研究人员观察发现,OpenClaw平台技能市场中12%的技能正在分发恶意软件。

Varonis的安全研究人员还发现了一种针对Microsoft Copilot Personal的攻击,只需两次请求敏感数据就能绕过内置的AI防护措施。这个“重新提示”漏洞将Microsoft Copilot变成了一个数据外泄工具。

5. AI编排的间谍活动

5. AI编排的间谍活动

2025年9月,Anthropic发现攻击者在一次网络间谍活动中滥用Claude Code来管理操作任务。

一个代号GTG-1002的APT组织使用Claude Code独立执行了80%-90%的战术操作,攻击者将其操作分解为数千个单独无害的小任务,并结合角色扮演框架,说服模型相信自己是在进行合法的安全评估。

攻击者滥用了Claude Code的AI代理能力,实现了脚本编写、目标研究、构建攻击工具和其他功能的自动化。

6. 创建模块化的黑帽AI平台

6. 创建模块化的黑帽AI平台

当前威胁格局已从滥用聊天机器人转向构建专门的、武器化的AI堆栈。

例如Xanthorox AI,与通用LLM不同,Xanthorox是一个专门为网络犯罪设计的、从头构建的攻击性平台。该平台具有用于恶意软件生成和漏洞利用等功能模块。Hexstrike AI模型上下文协议集成使Xanthorox能够超越单纯的‘辅助’黑客行为,进入完全自主代理系统的领域,而Hexstrike只是一个开源的、AI驱动的攻击性安全框架,最初设计用于道德渗透测试。

结语

结语

许多攻击者不再只是利用软件漏洞,而是更倾向于利用企业对AI的信任。这意味着安全团队需要以完全相同的态度对待AI助手,就像对待人类特权用户一样:严格控制、特定监控,最重要的是,永远不要假设任何人或任何事是安全的。