Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access¶

Ch12.036 Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access¶

📊 Level ⭐⭐ | 10.1KB | entities/google-ai-vulnerability-exploitation-threat-intel.md

原文存档

Summary¶

9×9=81 - Article ingested from newsletter candidate pipeline.

核心发现¶

Google 威胁情报小组（GTIG）基于 Mandiant 事件响应、Gemini 及主动研究，发现威胁行为者正在将生成式 AI 从实验性工具升级为工业化规模的攻击引擎，同时 AI 软件生态系统本身也已成为高价值攻击目标。

AI 作为攻击工具¶

漏洞发现与利用生成：GTIG 首次确认威胁行为者使用了据称由 AI 开发的零日漏洞，犯罪组织计划利用其进行大规模漏洞利用，但被主动反发现行动阻止。中国（PRC）和朝鲜（DPRK）关联的高级持续性威胁（APT）组织也表现出对 AI 驱动漏洞发现的浓厚兴趣。 AI 增强的混淆与防御规避：AI 驱动编码加速了基础设施套件和多态恶意软件的开发。APT27 使用 Gemini 开发了用于管理操作中继盒（ORB）网络的fleet管理应用；俄罗斯关联APT组织部署了 CANFAIL 和 LONGSTREAM，这两款恶意软件使用 LLM 生成的诱饵代码来掩盖恶意功能。 自主性恶意软件运营：PROMPTSPY 是首个被 ESET 发现的 Android 后门恶意软件，其利用 Google Gemini API 在受感染设备上实现自主攻击编排。恶意软件通过 GeminiAutomationAgent 模块将设备 UI 层次结构序列化为 XML，通过 HTTP POST 请求发送至 gemini-2.5-flash-lite 模型，模型返回结构化 JSON 响应指导物理手势操作。 LLM 匿名化访问：威胁行为者通过专业化的中间件、自动注册流水线、反检测浏览器和账户池服务，获取匿名化、高配额的模型访问权限，以工业化方式滥用 AI 服务。UNC6201 和 UNC5673 等中国关联威胁组织使用 Claude-Relay-Service 聚合多个供应商 API，使用 CLI-Proxy-API 提供统一代理接口。

AI 作为攻击目标¶

供应链攻击：TeamPCP（aka UNC6780）通过入侵 PyPI 包和恶意拉取请求，攻击了 Trivy、Checkmarx、LiteLLM 和 BerriAI 等热门 GitHub 仓库及关联 GitHub Actions。LiteLLM 作为 AI 网关工具被攻陷意味着攻击者可窃取大量受害者的 AI API 密钥，进而访问内部模型进行规模化情报收集和深度网络侦察。 武器化 OpenClaw Skills：2026 年 2 月 VirusTotal 报告了 OpenClaw AI 智能体生态系统的安全风险，包括伪装成恶意技能包的分发。这些恶意包可执行未授权代码、下载额外载荷、发现并窃取本地数据。OpenClaw 已与 VirusTotal 合作，在 ClawHub 技能市场中集成自动化代码行为分析。

深度分析¶

AI 驱动漏洞利用的能力边界与演进路径¶

传统漏洞发现依赖模糊测试（fuzzing）和静态分析工具，这些工具对内存损坏、输入验证等底层缺陷检测效率高，但对高层次语义逻辑缺陷（如硬编码信任假设、认证流程矛盾）几乎无能为力。GTIG 分析的零日漏洞案例揭示了 LLM 在这一领域的独特优势：模型能够进行上下文推理，理解开发者意图，关联 2FA 强制执行逻辑与硬编码异常之间的矛盾，从而发现"功能正确但策略性破坏"的逻辑漏洞。这一发现具有深远影响：LLM 漏洞发现的成本已接近于零，门槛是"有效提示工程"而非"深厚安全研究经验"。APT45 通过向 Gemini 发送数千个递归提示来分析不同 CVE、验证 PoC 漏洞，这种规模化研究能力在传统条件下需要专业安全团队数周才能完成。

威胁行为者的 AI 工具链分层¶

从文章描述的工具生态系统可以清晰看出威胁行为者已形成完整的 AI 滥用分层架构： | 层级 | 工具类型 | 功能 | 恶意用途 | |------|----------|------|----------| | 接入层 | API 网关聚合器（CLIProxyAPI、Claude-Relay-Service） | 整合多个 API 密钥为统一端点 | 掩盖流量模式、转售未授权 API 访问 | | 账户层 | LLM 账户自动注册工具 | 自动化注册、验证码绕过、SMS 验证 | Sybil 攻击、滥用免费额度 | | 接口层 | 客户端应用（Cherry Studio、EasyCLI） | 简化多账户管理 | 降低技术门槛 | | 运营层 | 管理中心（CLIProxyAPI ManagementCenter） | C2 枢纽、日志和配额监控 | 跨数百账户的规模化运营 | | 隐匿层 | 反检测浏览器（Roxy Browser） | 隔离浏览器指纹和硬件签名 | 绕过基于浏览器的机器人检测 | 这一工具链的成熟度表明，AI 滥用已从个人黑客行为演变为有组织的基础设施运营。

防御视角的结构性盲点¶

传统安全工具在应对 AI 驱动攻击时存在系统性短板。 静态检测失效：CANFAIL 和 LONGSTREAM 的诱饵代码策略利用了安全扫描器的核心假设——"代码存在即有意义"。LLM 生成的大量无意义但语法正确的代码填充物，使得传统签名检测和行为分析引擎产生大量误判。 蜜罐思维局限：PROMPTSPY 的持久化机制（将卸载按钮渲染为不可响应）代表了移动端威胁的范式转变——恶意软件不再是被动载荷，而是主动感知并对抗用户操作的自主智能体。 供应链信任链断裂：OpenClaw 技能包和 PyPI 依赖的广泛攻击表明，AI 系统的"技能"和"工具"扩展机制与传统的第三方库引入相同的供应链风险，但在权限模型上更为危险——AI 智能体被授予的系统访问权限远超普通应用。

MITRE ATLAS 与 ATT&CK 的威胁归因¶

文章附录详尽映射了 AI 相关威胁到 MITRE ATLAS 和 ATT&CK 框架，这是理解威胁全貌的关键索引：

Resource Development 阶段：AI 开发工作区（AML.T0008.000）、AI 服务代理（AML.T0008.005）、自动化 LLM 账户注册（AML.T0021）
Initial Access 阶段：AI 软件供应链妥协（AML.T0010.001）→ LiteLLM 等 AI 网关工具被攻陷后的密钥窃取
Execution 阶段：部署 AI 智能体（AML.T0103）→ PROMPTSPY 的自主攻击循环
Defense Evasion 阶段：LLM 越狱（AML.T0054）→ 角色扮演提示注入
AI Attack Staging 阶段：深度伪造（AML.T0088）、恶意命令生成（AML.T0102）这一映射揭示了 AI 威胁与传统网络威胁在攻击链各阶段的差异化特征。

实践启示¶

对 AI 开发者的安全建议¶

实施 AI 技能包的强制行为审计：参考 OpenClaw 与 VirusTotal 的合作模式，对任何第三方 AI 技能、工具包或插件进行自动化代码行为分析后方可集成。禁止向未审计的技能授予文件系统、网络或凭据访问权限。
强化 AI 网关的异常检测：API 聚合器和代理服务是威胁行为者规模化滥用 AI 的核心基础设施。AI 服务提供商应监控来自已知聚合工具的可疑流量模式，建立 API 网关层的行为基线。
最小化 AI 智能体的运行时权限：PROMPTSPY 案例表明，当 AI 智能体被授予高权限运行时，其被恶意利用的后果极为严重。采用权限分离原则，确保 AI 系统的工具调用能力与系统访问权限严格受限。

对安全运营团队的建议¶

重新评估供应链安全边界：LiteLLM 等 AI 基础设施组件的攻陷意味着传统的"内网安全"假设已不再成立。建议对 AI 依赖项（PyPI 包、GitHub Actions、自托管模型）实施零信任验证，对 AI API 密钥实施金库管理。
建立 LLM 辅助攻击的检测能力：传统 EDR 规则在面对 PROMPTSPLY 等 AI 增强型恶意软件时可能失效。需要关注：异常的 API 调用频率（大量 UI 序列化数据外发）、非预期的 Gemini/Claude API 调用、设备上的可疑辅助功能使用。
监控深度伪造和 AI 生成内容的分发：Operation Overload 案例表明，AI 生成的虚假音频正在被整合进信息战内容。建立媒体溯源能力（如 C2PA 标准）对识别伪造内容至关重要。

对威胁情报社区的建议¶

扩展 AI 威胁的归因框架：现有的 MITRE ATLAS 需要持续更新以覆盖新兴威胁——如 LLM 驱动的自动化漏洞研究、多态诱饵代码生成、以及匿名化 LLM 访问的基础设施服务化。
建立 AI 漏洞发现的防御协同机制：GTIG 通过主动反发现阻止零日漏洞被广泛利用的案例表明，AI 漏洞发现的防御需要情报社区的快速协同。考虑建立 AI 漏洞发现的快速披露渠道。
追踪威胁行为者的 AI 工具链演进：从文章的工具表可以看出，威胁行为者正在快速采纳和定制开源中间件项目。建立对地下社区 AI 工具链的持续监控对于预测下一步威胁至关重要。