Anthropic声称发现AI协同网络攻击引发行业争议与质疑

近期，Anthropic公司的研究团队披露，他们监测到“首个由人工智能协同实施的网络攻击行动”，在一次针对数十个目标的攻击活动中，检测到黑客利用其Claude AI工具参与操作。然而，外部研究专家对这一发现的评价显得更为审慎。

Anthropic在上周四发布的两份报告中指出，早在9月份，公司就发现了一场“高度复杂的攻击活动”，该组织使用Claude Code自动化完成了约90%的工作量。人类仅在少数关键节点进行干预，“每个黑客行动中仅有约4–6次关键决策点”。Anthropic强调，这些黑客对AI Agent化能力的运用达到了“前所未有”的水平。

但Anthropic也表示：“这次行动对AI Agent时代的网络安全具有深远启示，这些系统可以在长时间内自主运行，并在人类参与较少的情况下处理复杂任务。Agent对日常工作和生产力提升有重要价值，但若被恶意利用，它们能极大增强大规模网络攻击的可行性。”

“说实话，整篇文章给我的印象类似于‘Claude太强大，连黑客都依赖它’这样的营销噱头。”有海外网友评论道，“这让我回忆起PlayStation 2刚上市时，索尼发布文章称其性能超群，伊拉克曾购买数千台计划将其改造成超级计算机。”

图灵奖得主、Meta首席科学家Yann LeCun在回应美国康涅狄格州参议员Chris Murphy表达担忧的帖子时指出，“你正被那些试图通过监管垄断行业的人所戏弄。他们利用可疑的研究来恐吓公众，从而使开源模型在监管下难以生存。”

AnswerDotAI联合创始人、昆士兰大学教授Jeremy Howard也在Murphy的帖子下调侃道，“看来游说政府掌控监管、确保利润锁定在私营部门的策略已经见效了。”

曾创办HouseTrip的企业家Arnaud Bertrand在推特上表示，“不要轻信这些明显的宣传话术。我出于兴趣让Claude阅读其公司的报告，并判断是否有证据支持‘此次攻击由国家支持的组织实施’的说法。Claude的回答是：没有。”

原对话：https://claude.ai/share/8af83dc8-f34c-4cf9-88e4-9f580859c95a

“我不禁联想到近期关于中国在人工智能竞赛中可能超越美国并取得领先的言论。这类声明和报告似乎更多是试图推动美国政府介入，成为资金持续流入的主要推手，而非其他目的。”有网友称。

同样，专业安全研究人员也不认为这一发现如Anthropic所描述的那样具有历史性转折意义。他们质疑，为何类似技术进展在报道中总是与恶意黑客关联，而白帽黑客和合法软件开发人员仅报告持续而细微的改进。

1  “迎合、推诿与幻觉问题” 

尽管报告引发了广泛关注，但Phobos Group创始执行官、拥有复杂安全攻防研究经验的Dan Tentler对外媒Ars表示：

“我仍难以相信攻击者能让这些模型完成他人无法做到的事情。为什么这些模型在攻击者手中能达到90%的成功率，而我们其他人却要面对迎合式的回复、各种推诿阻挠，甚至像迷幻般离谱的答案？”

研究人员并不否认AI工具能够优化工作流程、缩短特定任务的完成时间，例如分级分析、日志解析以及逆向工程。但要让AI以极低的人类干预自动执行一整套复杂任务链，这一能力目前仍难以实现。

许多研究人员将AI在网络攻击中的作用，与Metasploit或SEToolkit等已使用数十年的黑客工具相提并论。毫无疑问，AI工具确实有用，但它们的出现并未实质性地提升黑客能力或加剧攻击的破坏性。

结果不那么“惊人”的另一个原因是：Anthropic声称追踪的组织（代号GTG-1002）至少攻击了30家组织，包括主要科技巨头和政府机构，但仅“少量”攻击成功。这也引发部分专家的疑问：即使假设大量人工步骤被AI消除，如果最终成功率仍然极低，那么这项能力又有多大的实际意义？

根据Anthropic的描述，黑客使用Claude利用公开可用的开源工具与框架编排攻击流程。这些工具已存在多年，并且很容易被防御方检测。截至目前，也没有迹象显示使用AI使得攻击比传统技术更具威胁性或更隐蔽。

独立研究员Kevin Beaumont表示：

“这些威胁者并未发明什么新东西。”

Anthropic自身在报告中也指出了一个“重要局限性”：

Claude在自主执行过程中经常夸大发现结果，并偶尔捏造数据，例如声称获取了实际无法使用的凭证，或将公开可查的信息误报为关键突破。这类幻觉问题在进攻性安全场景中带来显著挑战，需要对所有声称的结果进行严格验证，这仍然是完全自主网络攻击的主要障碍之一。

2  “攻击的展开方式” 

Anthropic的报告未披露此次攻击的具体技术细节、工具链或漏洞利用方式。

Anthropic表示，GTG-1002开发了一套自主攻击框架，利用Claude作为中枢编排引擎，从而大幅减少对人类操作的依赖。该系统将复杂的多阶段攻击流程分解为一系列子任务，例如：漏洞扫描、凭证验证、数据提取、横向移动等。Anthropic解释称：

“该框架将Claude的技术能力整合为一个自动化系统中的执行引擎，AI根据人类操作员的指令执行特定技术任务，而系统的编排逻辑则负责维护攻击状态、管理阶段转换，并整合多个会话中的结果。”

“这种方法使得攻击者能在极少直接参与的情况下，达到国家级攻击行动才会具备的规模。框架通过对Claude的响应进行顺序控制，并根据新发现的信息不断调整后续任务，从而能够在无需持续人为操作的前提下自动推进侦察、初始入侵、持久化以及数据外泄各阶段。”

攻击总体遵循五个阶段，并且在每个阶段都会进一步提高AI的自主性。

图源：Anthropic

网络攻击的生命周期示意图显示，攻击从“由人为主导的目标选择”逐步过渡到“主要依靠AI驱动”的攻击流程，期间通过MCP使用多种工具。在攻击的不同时段，AI会返回到人类操控者那里，接受审核与进一步指示。

攻击者能够绕过Claude的安全限制机制，部分原因是将恶意任务切分成多个细小步骤，使得AI在单个任务层面无法识别其恶意性质。在其他情况下，攻击者会伪装成安全研究人员，假借提升防御能力的名义向Claude提问，从而规避检测。

目前由AI完成全流程开发的恶意软件距离构成现实威胁仍有较大差距。尽管未来AI辅助网络攻击可能会带来更具威胁性的结果，但现有数据表明，威胁行为者取得的实际成果与业界宣传相比存在明显落差，且远未达到人们想象中的惊人程度。

3  “报告缺乏专业评审标准” 

“这篇报告根本通不过任何专业评审，它顶多是为了营销自家的AI安全产品，是可耻且不专业的。我们应该要求更高的标准，而不是接受炒作式的安全研究。”从事攻击性安全与软件工程的djnn说道。

“如果你和我一样，看完结论后会迫切希望看到有关TTP（战术、技术与流程）或IoC（威胁情报指标）的细节，以推动研究。然而，报告内容很快就变得空洞，这真的很糟糕。”djnn补充道。

威胁情报报告的主要目标是让他人掌握新的攻击方法，并提供可用于检测的攻击特征。通常，这些内容包括：与攻击活动相关的域名、可在VirusTotal等平台检索的文件哈希（如MD5、SHA512）、供安全团队检查系统是否受影响的情报参数等。例如，法国CERT在公布APT28攻击情报时，包含与MITRE ATT&CK对应的技术描述；钓鱼邮件内容、源IP、发送时间；所使用的工具和VPN；风险缓解与防御建议等。

“这些是行业标准，全球SOC（安全运营中心）均依赖这些信息进行监测和防御。但在Anthropic的报告中，完全没有这些信息，而且大量内容无法被验证。”djnn提出，“利用AI独立完成80-90%的战术操作”中，“80-90%”这个数据就完全无法验证。

“报告明确宣称AI负责漏洞利用甚至数据外泄。这是非常重大的说法，却没有证据链支持：我们不知道使用了哪些工具、攻击了什么类型的系统、提取了哪些数据、受害者包括谁。”djnn表示，“而报告声称Anthropic发现后关闭账户并进行了‘增强安全’，但没有说明漏洞是否已经修补、数据是否泄露、受影响组织是否得到补救。”

“威胁行为者使用AI当然是事实，不存在争议。但Anthropic这份报告完全没有达到专业威胁情报发布标准。”djnn还强调，“网络攻击溯源是严肃且有外交后果的，你不能无凭无据指责一个国家。”“高度敏感的指控，却不给出任何证据。这种行为既不负责任，也不专业。”

值得注意的是，此前清华物理系传奇姚顺宇离开Anthropic，部分原因就是不认同该公司的做法，之后他加入了DeepMind。

“我已经受够了这些AI实验室。他们拥有非常优秀的工程师，却不断发布一些根本经不起基本检验的内容。GPT-5的系统卡令人失望透顶。微软大谈特谈所谓的红队演练，但方式模糊、完全不可复现。所有实验室都自称‘支持科研’，却一次又一次地发布白皮书、制造噱头，却不提供对应代码与数据来验证其结论。”有网友表示。

参考链接：

https://www.anthropic.com/news/disrupting-AI-espionage

https://arstechnica.com/security/2025/11/researchers-question-anthropic-claim-that-ai-assisted-attack-was-90-autonomous/

https://djnn.sh/posts/anthropic-s-paper-smells-like-bullshit/

https://x.com/ChrisMurphyCT/status/1989120215171625149