绘制 AI 赋能网络威胁图:来自 LLM ATT&CK 导航器的洞察
Kyla Guru、Alex Moix 和 Jacob Klein
过去一年里,我们一直在调查威胁行为者如何利用 AI 武器化来实施网络行动。今天,我们分享一项新的分析,将这些真实世界的攻击映射到 MITRE ATT&CK® 框架——一个由网络攻击者使用的战术和技术组成的数据库。这样做揭示了一些挑战传统网络安全假设的模式——例如,威胁行为者带来的风险级别可以通过技术复杂度或技术广度等指标来评估。我们与 Verizon 合作,将其中部分结果纳入了 2026 年 Verizon 数据泄露调查报告(DBIR),并发布这份报告,以便对所看到的 AI 赋能网络行动中的趋势提供更深入的分析。[1]
在新标签页中打开交互式导航器。
主要发现
在本研究中,我们分析了在一年时间内(2025 年 3 月至 2026 年 3 月)与恶意网络活动相关的 832 个账户。Anthropic 因这些账户违反我们的使用政策而禁止其使用 Claude。本分析中的账户只是我们在此期间调查并封禁的账户中的一部分;我们选择它们是因为我们有足够多的关于其恶意活动的细节,能够将其技术映射到 MITRE ATT&CK 框架上。
我们分析中的 832 个账户使用了 AI 模型,涵盖了该框架中的所有 14 种战术和 482 种独特子技术,从初始侦察到最终影响。[2] 我们还开发了一个风险评分框架(本文后面会介绍),以评估 AI 辅助对这些行为者规划攻击的帮助程度。最引人注目的是,我们发现,在一年中的上半年和下半年之间,被标记为中等风险或更高风险的行为者比例从 33% 跃升至 56%。这表明 AI 正在帮助攻击者越来越轻松地实施越来越复杂的网络行动。
我们的分析得出了三个关键发现:
- 使用人工智能进行网络操作的行为者数量正在增长,其行动带来的风险也更高。如上所述,中等风险或高风险行为者的比例在不到一年内增加了约1.7倍,从我们研究窗口前半段的33%上升到后半段的56%。这种增长集中在利用人工智能进行某些最具危害性活动(包括横向移动、凭据转储和Web Shell)的行为者身上——在我们的评分中,这些行为每行为者承担的风险权重最高,而非主导其余人群的常见构建与混淆工作。传统上,只有技术最精湛的行为者才能在整个杀伤链(即网络攻击的各个连续阶段)中运作。但我们的分析发现,情况已不再如此。他们访问模型的平台(例如API或像Claude Code这样的智能体编码平台)也与他们行为风险的高低无关。真正区分最高风险行为者的,是他们向模型请求哪些技术手段。
- 智能体脚手架将使网络攻击能够实现远为更高的自主性。随着人工智能驱动的网络技术在这一群体中变得越来越普遍,根据行为者向模型请求的内容来区分其风险等级将变得更加困难。相反,区分因素将变成脚手架——即行为者在模型周围构建的、使人工智能模型更强大的外围代码、架构和工具——这样他们就能自主地将攻击阶段串联起来。这一点在我们于2025年11月挫败的一起网络间谍活动中表现得尤为明显:该活动风险评分达到100的最高值,但所使用的技术手段数量却仅与中等风险行为者相当。那次攻击与众不同之处,不在于其采用了多少种技术,而在于攻击者如何利用一个人工智能智能体来协调这些技术手段。
- MITRE ATT&CK框架尚未涵盖使这些攻击者如此危险的那些自主行动。自主杀伤链编排、实时跳转决策,以及无需任何人工干预的AI驱动执行,在ATT&CK框架中还没有对应的编号。我们的报告包含了13,873次恶意活动观察,所有这些观察都能映射到该框架所设定的类别中——但是,那些区分最高风险攻击者、并决定其行动速度与规模的行为,目前还没有这样的编号。现代威胁情报所依赖的分类体系需要扩展,以覆盖这些行为。
虽然Claude Mythos Preview展示了前沿AI网络能力的走向——模型能够发现并利用漏洞,其水平接近最有经验的人类研究人员——但这份报告告诉我们的是,威胁行为者当前如何滥用通用可用的模型。同时,它也指引我们了解威胁行为者近期可能如何滥用能力越来越强的模型,从而让防御方有机会抢占先机。
我们从这份报告及其他分析中获得的经验,直接影响了我们构建Claude以防止此类滥用的方式。例如,我们更新了内置在Claude中的分类器,以检测最高风险攻击者;同时扩大了探测检测的范围,以覆盖本次分析所揭示的高风险行为指标。这些发现表明,当前格局中,低风险与高风险攻击者之间的分界线已不再是技术能力,而是编排能力;而防御手段、检测机制以及我们共同依赖的共享框架,都需要像它们所描述的威胁一样快速演进。
关于数据集
本报告中的发现源自 832 个账户,这些账户因违反 Anthropic 使用政策中与网络安全相关的条款,于 2025 年 3 月至 2026 年 3 月期间被封禁。我们通过自动化防护措施与威胁情报团队的调查相结合的方式识别出这些账户。针对每个账户,我们撰写了所观测活动的摘要。随后,我们从这些摘要中提取出相关策略、技术与流程(即 TTPs),并将其映射至当时最新版本的 MITRE ATT&CK 框架(V18)中。总共,我们观测到 482 种独特技术下的 13,873 项行动,覆盖了全部 14 种 ATT&CK 策略。
我们根据一种新开发的方法论——AI 风险赋能评分(ARiES),为每个行为者赋予 0 到 100 的风险评分(0 代表最低风险,100 代表最高风险),该方法论将在下文详述。我们对数据进行了匿名化处理,因此在后续分析中无法识别行为者的身份。
LLM ATT&CK 导航器与 ARiES 风险评分
作为本分析的一部分,我们开发了 LLM ATT&CK 导航器:一个交互式框架,将观测到的 AI 赋能滥用模式映射到 MITRE ATT&CK 框架上,并为行为者分配 ARiES 风险评分。ARiES 是一个由三个信号组成的复合评分:行为者的威胁画像、模型对所请求危害的贡献程度,以及观测或潜在影响。该评分基于行为者在 Claude.ai、Claude Code 以及我们 API 上的活动计算得出,同时利用了我们的安全分类器以及开源和内部威胁情报指标。评分越高,说明该 AI 赋能行为者的风险越高。
我们的框架从三个维度对单个技术以及整个账户进行评分:
- 威胁(0–35 分):评估行为者意图的清晰度、其技术复杂度、威胁情报信号,以及该账户用于逃避检测的策略。技术复杂度由 Claude 基于行为者的提示词与工具使用情况评定,衡量所需专业知识水平、操作者技能、自研工具与现成工具的使用情况以及能力深度。
- 脆弱性(0–35分):评估模型促成所请求危害的能力以及所用接口的风险特征。编程接口(即API)和像Claude Code这样的智能体编码工具由于具有自动化操作潜力,得分最高。
- 影响(0–30分):通过我们的安全分类器分配的分数以及调查人员对归因于AI参与操作的实际或潜在后果的评估,来捕捉用户行为的真实世界影响。
这两个组成部分共同产生一个从0到100的总风险评分,使我们能够将威胁行为者和技术分为低、中、高和严重风险等级。
关于评分公式的说明
网络威胁行为者当前如何使用AI
我们对13,873种观察到的技术的实证分析揭示了对手在攻击生命周期中利用AI的清晰模式,以及当前模型最常被用于哪些技术。
AI辅助能力开发
我们观察到的最常见技术族是ATT&CK ID T1587(开发能力),在我们分析的832个行为者中,有574个使用了该技术,占比69%。其中大部分行为表现为T1587.001(恶意软件开发),被560个行为者使用。在实践中,我们观察到威胁行为者滥用模型来构建和优化自定义脚本以运行、编写带有详细实施指导的DLL注入代码,以及实现浏览器指纹规避和自动化账户管理。
接下来最普遍的技术是T1027(混淆文件或信息),被64.7%的威胁行为者采用;T1005(来自本地系统的数据),被55.9%的威胁行为者采用;以及T1562(削弱防御),被54.9%的威胁行为者采用。这些顶级技术共同表明,威胁行为者最常寻求大语言模型的帮助来构建攻击前的对抗工具,使这些工具更难以被检测,并从被攻破的系统中窃取数据。

另一方面,攻击者一旦进入目标网络后,使用大语言模型进行实时自适应决策的可能性要低得多。例如,832 个威胁行为者中只有 54 个(6.5%)使用模型进行横向移动,而使用模型进行 RDP、SSH 和 SMB 等远程服务的攻击者不到 12 个。只有 22.5% 的行为者使用大语言模型进行权限提升和影响阶段。
某些在真实世界网络攻击中常见的技术系列——例如活动目录利用、Kerberos 票据攻击、云基础设施操纵(AWS、Azure、GCP)和容器逃逸——在数据集中的代表性明显较低。
在我们研究的一年间,排名靠前的技术以及攻击者使用它们的频率没有太大变化。在前期和后期,模型被用于的中位技术数量都是 16 项。在后半年,我们观察到一个微小的方向性转变:威胁行为者使用模型来构建独立恶意软件或混淆脚本的情况减少,而更多地将模型用于网络攻击中特定操作阶段以及目标发现和收集技术。具体而言,我们观察到 T1087(账户发现)的发生次数增加了 8.9%,T1020(自动外泄)增加了 6.2%,同时 T1587(能力开发)减少了 12%,T1566(钓鱼攻击)减少了 8.6%。
AI 辅助的防御规避战术
防御规避是数据集中最大的单一战术类别,出现在我们研究的 84.4% 的攻击者行为中。MITRE 在“防御规避”下定义了 64 种技术(涵盖其企业级和移动端框架);我们在数据集中观察到了其中的 32 种技术:25 种企业级技术和 7 种移动端技术。
在该战术中观察到的主要技术包括:
- T1027(混淆文件或信息)。我们样本中 64.7% 的威胁攻击者使用 AI 来实现诸如 XOR/base64 编码、多态变体和反检测封装等技术,以规避基于签名的检测。
- T1562(削弱防御)。54.8% 的威胁攻击者使用 AI 绕过、禁用或篡改端点安全工具。
- T1055(进程注入)。30.3%的恶意行为者使用AI编写可注入合法进程的恶意代码,例如进程镂空和DLL注入,以便从受信任的进程内存中执行载荷。

使用频率较低的策略包括影响(2.8%)、数据外泄(2.8%)、权限提升(2.4%)和横向移动(0.7%)。这些策略合计仅占所有观测记录的8.7%——甚至低于防御规避一项。这些行为都发生在攻击生命周期的后期,表明威胁行为者更多地在攻击早期阶段使用模型,而在后期阶段使用较少——即一旦他们渗透进网络并在真实环境中适应情况之后。在我们研究的这一年期间,这一模式保持稳定。
高风险行为者及其策略
虽然横向移动等策略在我们的数据集中远不常见,但它们与最高的ARiES风险评分高度相关——这意味着最高风险的行为者也是最有可能在网络攻击后期阶段使用模型的那批人。使用AI进行横向移动的行为者,其风险评分平均比不这样使用AI工具的行为者高出10.5分。这表明,从使用AI准备网络攻击到使用AI在真实网络操作中采取行动,是高AI赋能的关键标志。

总体而言,风险评分最高的行为者将AI最集中地用于入侵后的“手在键盘”技术,例如远程服务、凭据转储、Web Shell部署以及内部网络和账户发现。横向移动是高风险行为者最显著的标志:我们数据集中使用了横向移动的54名行为者,其平均风险评分为56.4,比平均值46.8高出近10分。没有任何其他技术能接近如此强的预测能力。
在技术层面,最高风险行为者最常使用的技战术是 T1021(远程服务:SSH/SMB)、T1078.003(有效账户)、T1003(操作系统凭据转储)、T1560(归档收集数据)以及 T1505.003(Web Shell)。与整体人群相比,这些技战术在最高风险行为者中的使用频率高出三到五倍。
与此同时,最普遍的战术(如防御规避和资源开发)以及通用技战术(如凭证填充和鱼叉式网络钓鱼)在最高风险与最低风险行为者中的使用频率大致相同,考虑到这些技战术极为常见,这一点并不令人意外。综合来看,数据表明,大多数威胁行为者正在利用 AI 在攻击准备阶段构建恶意代码等工件,但最高风险行为者不仅在攻击准备阶段使用模型,也在入侵网络后的实际操作中使用模型。
我们还发现,威胁情报团队通常用于评估威胁行为者的属性——例如其被评估的技术技能、接口选择或使用技战术的数量——对于预测 AI 模型能为特定威胁行为者带来多大提升作用较弱。技术成熟度一旦从综合评分中剔除以避免循环论证,与其余风险组成部分的相关系数仅为 r = 0.28。事实上,完全剔除这一特征后,排名前六的行为者排序保持不变(所有 832 个样本的 Spearman ρ = 0.96)。高风险尾部并非技术成熟度这一组成部分的产物。
技战术覆盖广度与风险评分之间的相关性也仅呈弱正相关(r = 0.27)。大多数行为者使用模型来实施少量技战术——事实上,我们数据集中行为者的中位数采用了 16 种不同的 MITRE ATT&CK 技战术——这种广度在五年前或许意味着一个资源充足、技术成熟的操作。

最后,接口选择也揭示了类似的情况——研究中 80% 的行为者滥用了 Claude Code,使得智能体工具成为了默认访问模式而非区分性特征,而仅限于对话界面、API 或智能体编码工具的行为者,其风险分布统计上趋同且无显著差异。
这告诉我们,从 AI 中获得最大提升的恶意行为者,其技术能力未必比其他行为者更高,也不一定使用编码工具或在杀伤链的多个环节用到 Claude;相反,他们只是更倾向于用 Claude 执行那些需要亲自动手的技术操作。
在线利用行为者数量日益增长
如上所述,在 AI 加持下获得中等或更高风险评分的行为者占比,从研究前六个月期间的约 33.5% 增长到后六个月期间的约 56.1%——在不到一年的时间里增长了 1.7 倍。这两个期间内,行为者群体分布偏移了约 22.6 个百分点:前六个月期间大多数行为者风险评分较低,而后六个月期间大多数行为者风险评分达到中等。
尽管改进的威胁检测技术可能促使了这一增长,但我们还看到,越来越多的行为者要求模型执行更多实操性、在网络内部的工作,这类工作此前只出现在极少数高风险行为者中。在研究后六个月期间,我们看到更多专业化的行为者利用模型构建利用工具、C2 基础设施和远程访问木马——但同时,也有更多中低技能行为者不仅用模型执行准备性任务,还用于实时操作。我们观察到,从研究前六个月到后六个月期间,T1087(账户发现)技术增长了 8.9%,T1020(自动外泄)技术增长了 6.2%,这与上述趋势一致:频率增加的技术恰恰暗示行为者已经进入了网络内部。
这对防御者意味着什么:具备 AI 能力的行动者群体不仅规模在扩大,而且正朝着我们框架中风险最高的活动偏移,而行动者自身并不需要变得更加熟练。如果这一趋势持续下去,这些操作技术将不再是一个区分因素,而会成为未来的基线——届时我们将需要找到新的方法来衡量风险最高的行动者。下一节中,我们将讨论未来如何做到这一点。

AI 智能体时代的新颖性与复杂度
观察我们风险最高的威胁行动者也凸显出,仅基于攻击技术的数量、类型或广度来评估 AI 赋能网络行动的风险是不足的。我们还需要一种方式来理解威胁行动者能够构建的支架体系,用以将这些技术串联起来,在实时行动中使用,从而使他们能够在无需人工干预的情况下,利用 AI 模型自主执行网络攻击的大部分环节。
We analyzed the behavior of the threat actor who orchestrated the AI-enabled cyber espionage campaign we reported on in November 2025, labeled GTG-1002, we see that this actor achieved the maximum possible risk score of 100, successfully compromised government and critical infrastructure targets across multiple countries, and developed a scaffolding to use Claude Code not as an advisor, but as an autonomous operator. Yet their overall MITRE profile—30 techniques across 13 tactics—is comparable to dozens of medium-risk actors in this dataset. The median actor deploys 16 techniques; several low-risk actors also exceed 30. In other words, technique count or tactic type alone could not explain what made GTG-1002 the most high-risk actor we have observed thus far.
解释该行为体为何获得高风险评分的,是他们所使用的日益智能化的组件:他们能够编排并串联多种技术手段,以针对自身目标采取行动。GTG-1002 在 Kali Linux 机器上运行了武器化的 Claude Code,并将开源渗透测试工具集成为 MCP(模型上下文协议)服务器——从而有效将 AI 从一个代码编写助手转变为一个自主攻击平台。AI 不再仅仅是建议命令或生成攻击脚本,而是自主执行这些命令,并自主推理攻击环境。他们“智能体化”的某些迹象,通过我们所追踪的技术类型间接体现出来;GTG-1002 采用了诸如 T1021.004(远程服务:SSH)、T1210(远程服务利用)和 T1560(归档收集的数据)等操作技术。但主要的区别在于:
- 阶段内自主执行:GTG-1002 部署了运行在 Kali 机器上的 Claude Code,自主编排了数十次 MCP 工具操作——在侦察阶段扫描并映射了数十个面向互联网的服务,随后在进入内部网络后发现了内部管理门户、数据库、日志服务器以及时间管理工作流系统。AI 不仅建议命令,它还会执行命令,做出下一步探测哪里的战术决策,而无需等待操作员输入。
- 实时利用与横向移动:在 GTG-1002 的框架内运行时,AI 利用了一个面向公众的 Web 服务器中的 SSRF 漏洞,将命令代理到内部云环境中;从内部基础设施中获取了 SSH 私钥,并从云元数据服务和 AWS Secrets Manager 中获取了服务账户令牌;随后利用这些获取到的凭证在受害者的云环境中进行横向移动。这些操作阶段(发现→凭证访问→横向移动)在我们的数据集中较为罕见。
- 人类意图,AI执行:GTG-1002 提供战略方向,而 AI 负责战术实施。该 AI 在侦察和内部发现阶段自主运行,当遇到容器镜像签名流程和服务账号身份等未预见的基础设施时,能自行调整应对方式,并分阶段压缩了数万条专有工作流记录及内部架构文档以备外泄。最终的数据提取——通过 curl MCP 工具调用下载至攻击者机器——由人类指挥,这表明操作员在将操作工作委托给 AI 的同时,保留了对关键决策的控制权。
GTG-1002 的活动具有新颖性,因为它利用 AI 智能体自主地将网络攻击生命周期中的多个阶段——侦察、利用、横向移动和窃取——串联成一次连贯的行动,并实时决定下一步行动以及要收集哪些数据。这是技术频率表无法捕捉的 AI 赋能提升维度,也是我们预期随着智能体工具的成熟而变得最为重要的维度。
我们如何利用 Navigator 来指导自身的安全防护措施
本报告中的发现已经影响了我们检测、调查和阻断 AI 赋能网络滥用行为的方式。
首先,我们的风险评分显示,风险最高的行为者并不总是最引人注目或最活跃的——他们通常在所采用技术的类型和数量上看起来平平无奇,其区别在于他们如何编排自己的 AI 来完成整个网络行动。我们正在相应更新检测系统,扩展分类器和探针以捕获与高 ARiES 评分相关的技术。同时,我们也在开发针对智能体滥用模式的检测信号,这些模式无法清晰对应到 MITRE 框架,例如多步自主执行、AI 引导的转向决策,以及通过 MCP 服务器及类似接口进行工具增强的操作。
第二,我们已在我们最强大的模型上推出了实时网络安全防护措施,能够在请求层面自动检测并阻止受禁止的活动(例如勒索软件开发或大规模数据窃取)。同时,我们现在也将风险较高的双重用途活动——即网络攻击者和防御者都可能开展的活动——纳入我们的网络验证计划(CVP),允许防御从业者继续在他们的工作中使用我们的模型。
第三,通过 Project Glasswing,我们正在研究我们最强大模型在向公众广泛开放之前的攻击性网络能力,从而在威胁行为者利用这些能力之前了解 AI 网络能力的发展方向,并在此类滥用发生之前设计出防护措施。
最后,继我们与 Verizon 合作完成 2026 年数据泄露调查报告后,我们目前正在与 MITRE 积极讨论,如何让 ATT&CK 框架能够演化,以涵盖我们在本次分析中观察到的 AI 原生操作行为。此外,我们还会持续与政府和行业合作伙伴分享技术指标、威胁行为者使用的战术、技术和程序,以及调查发现。
MITRE ATT&CK 的新时代
最危险的攻击者如今正在利用 AI 来编排攻击,而不仅仅是构建支持此类攻击的工具;而威胁调查人员用来追踪威胁的框架尚未跟上这一变化。传统框架依赖于攻击者具备高超技术能力,当低技能攻击者也能构建、指挥并操作专家级的攻击工具时,这些框架就会失效。
从过去一年对此类活动的梳理以及我们与 Verizon 的合作中,一个清晰的教训是:我们必须扩展共享的威胁词汇体系。MITRE ATT&CK 收录了攻击者执行的单个技术动作,但那些将最高风险攻击者与其他攻击者区分开的行为——例如对整个杀伤链的智能体编排,或者对目标的自主选择——尚未被这一分类体系所涵盖。
我们相信,下一步是在 ATT&CK 框架中新增跨领域类别,帮助威胁调查人员识别那些将多种技术串联起来的智能体行为、自主行为与决策行为。这将为防御者提供一套能够跟上攻击者在现实世界中运用 AI 工具步调的通用语言。
与此同时,防御者显然需要以与攻击者同等的复杂度和紧迫感来使用 AI,在组织之间共享威胁情报,并缩短从发现软件漏洞到完成修补的时间。作为行业整体,我们必须对不安全代码的容忍度大幅降低。过渡期将会很艰难。但如果产业界、政府与公民社会以应有的紧迫感应对当下,我们有理由相信,从长远来看,能力强大的 AI 系统对防御者的裨益将超过攻击者——在新代码发布之前发现漏洞,让社会所依赖的系统更加安全。最终结果可能是基础设施得到更好的防护,数字环境中的欺诈与滥用显著减少。随着威胁格局的演变,我们将继续分享所学所得。
脚注
[1] 针对 DBIR,我们提供了 11 个月的威胁行为者数据进行分析,在本报告中将其补足至 12 个月。
[2] 我们观察了 MITRE 企业矩阵与移动端技术矩阵中的子技术。企业技术占全部观察量的 99%。
订阅前沿红队通讯
获取我们最新的红队研究与发现更新。