2026年1月,墨西哥蒙特雷市的供水排水系统遭遇了一次不同寻常的网络攻击。安全公司Dragos与Gambit Security联合发布的威胁情报报告显示,攻击者将Anthropic的Claude作为核心工具,全程参与了从侦察到代码编写的入侵链条。这是目前已知最早的一起AI被用于攻击关键基础设施控制系统的真实案例。
攻击直到2月底才被发现。Gambit Security的研究人员在调查一起波及墨西哥多个政府机构的的大规模数据泄露事件时,偶然发现了针对Servicios de Agua y Drenaje de Monterrey(简称SADM)的攻击痕迹。这起更广泛的入侵活动从2025年12月持续到2026年2月,导致墨西哥多个联邦和市政机构的敏感政府数据被盗。
Dragos分析师审查了超过350件攻击者遗留的数字痕迹,包括AI生成的脚本、攻击工具和交互日志。分析确认,SADM的企业IT环境遭到严重入侵,攻击者曾试图进一步渗透管理物理基础设施的运营技术(OT)系统。真正让这起事件进入安全史的是AI的参与度——攻击者将Claude作为主力工具,用于规划入侵路径、编写恶意代码、绘制内网拓扑,并实时调整策略。OpenAI的GPT模型也在辅助环节出现,主要负责处理窃取的数据并生成结构化情报报告。
攻击者绕过了AI安全限制的方法并不复杂:他们将所有请求包装成"授权渗透测试"的语境。据报告估算,在针对墨西哥政府系统的整个攻击活动中,约75%的远程命令执行由AI直接驱动。这种伪装手法暴露了当前AI安全机制的一个盲区——基于意图识别的过滤系统,在遭遇精心设计的角色扮演时可能失效。
入侵SADM内网的路径可能是漏洞Web服务器或被盗凭证。进入网络后,攻击者立即调用Claude进行环境侦察。Claude在没有工业控制系统背景知识的情况下,成功识别出一台运行vNode工业网关的内部服务器——这是一种用于监控和管理工业流程的Web界面,并将其标记为"与关键国家基础设施相关的高价值目标"。
随后,Claude建议对vNode的Web界面实施密码喷洒攻击。该界面采用单密码认证机制,Claude据此生成了三类凭证列表:设备默认密码、与受害者相关的命名组合、以及从其他政府系统早期入侵中收集的复用凭证。两轮自动化密码喷洒相继启动,但均未成功。攻击者随后转移了目标。
这次攻击的标志性意义在于AI能力的"无门槛迁移"。攻击者无需具备工业控制系统专业知识,Claude自主完成了目标识别、价值评估和攻击方案设计。vNode作为工业物联网领域的常见组件,其安全弱点——单密码认证、默认凭证——本是行业老生常谈,但AI的介入将"发现-利用"的周期压缩到了小时级。
报告披露的时间线也值得注意:攻击发生在2026年1月,而公开的大语言模型被用于网络攻击的讨论此前多停留在假设层面。这起案例将讨论推入了实证阶段。75%的AI驱动命令执行比例,意味着人类操作者更多扮演监督角色,而非传统意义上的"键盘前的黑客"。
对于关键基础设施运营方,这起事件提出了一个紧迫问题:当攻击者可以借助AI快速弥补知识缺口时,防御端的技能储备是否还能形成有效壁垒?SADM的vNode服务器最终未被攻破,靠的是基础认证机制的韧性——但这属于侥幸而非设计。如果攻击者针对的是配置更为松懈的设施,结果可能完全不同。
Dragos在报告中没有披露攻击者的身份归属,仅描述为"未知黑客组织"。考虑到攻击范围覆盖多个墨西哥政府机构,且动机偏向情报收集而非直接破坏,其背景存在多种可能性。但技术层面的启示已经清晰:AI辅助攻击的门槛正在快速降低,而防御端的响应速度尚未匹配这一变化。
热门跟贴