微软：黑客在网络攻击的每个阶段滥用AI

Source: Bleeping Computer

概述

Microsoft 表示，威胁行为者越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。

根据最新的 Microsoft Threat Intelligence 报告，攻击者正在使用生成式 AI 工具执行广泛任务，包括侦察、钓鱼、基础设施建设、恶意软件创建以及妥协后活动。在许多情况下，AI 被用于起草钓鱼邮件、翻译内容、汇总被窃取的数据、调试恶意软件，以及协助脚本编写或基础设施配置。

“Microsoft Threat Intelligence has observed that most malicious use of AI today centers on using language models for producing text, code, or media. Threat actors use generative AI to draft phishing lures, translate content, summarize stolen data, generate or debug malware, and scaffold scripts or infrastructure,” warns Microsoft.
Source

“对于这些用途，AI 充当了一个力量倍增器，降低技术摩擦并加速执行，而人类操作员仍然掌控目标、定位和部署决策。”

威胁行为者在网络攻击生命周期中使用 AI
来源：Microsoft

AI用于推动网络攻击

Microsoft 观察到多个威胁组织在其网络攻击中加入了 AI，包括被追踪为 Jasper Sleet（Storm‑0287）和 Coral Sleet（Storm‑1877）的朝鲜演员，他们在远程 IT 工作人员计划中使用该技术。

在这些行动中，AI 工具帮助生成逼真的身份、简历和通信，以便在西方公司获得就业并在被雇用后保持访问权限。

Jasper Sleet 使用的示例提示

• 提示 1： “创建 100 个希腊名字的列表。”
• 提示 2： “使用姓名 Jane Doe 创建电子邮件地址格式的列表。”

Jasper Sleet 还使用生成式 AI 来审查专业平台上软件开发和 IT 相关职位的招聘信息，提示工具提取并汇总所需技能。这些输出随后用于为特定角色量身定制假身份。

报告描述了 AI 如何被用于协助恶意软件开发和基础设施创建。威胁行为者利用 AI 编码工具生成和完善恶意代码、排除错误，或将恶意软件组件移植到不同的编程语言中。一些恶意软件实验显示出 AI‑驱动的特征，能够动态生成脚本或在运行时修改行为。

Microsoft 观察到 Coral Sleet 使用 AI 快速生成假公司站点、配置基础设施，并测试和排除部署中的问题。当 AI 防护措施尝试阻止在这些任务中使用 AI 时，威胁行为者会采用 jailbreak 技术欺骗大型语言模型（LLM）生成恶意代码或内容。

除了生成式 AI，Microsoft 研究人员还开始看到威胁行为者尝试使用代理式 AI 自动执行任务并根据结果进行自适应。然而，AI 目前主要用于决策，而非完全自主的攻击。

由于许多 IT 工作人员活动依赖对合法访问的滥用，Microsoft 建议组织将这些计划视为内部风险。防御者应重点检测异常凭证使用、加强身份系统的防钓鱼能力，并保护可能在未来攻击中成为目标的 AI 系统。

Microsoft 并非唯一注意到威胁行为者日益使用人工智能来推动攻击并降低进入门槛的公司。Google 最近报告称，威胁行为者在网络攻击的所有阶段滥用 Gemini AI，这与 Amazon 在本次行动中观察到的情况相呼应。Amazon 以及 Cyber and Ramen 安全博客也报道了一名威胁行为者使用多种生成式 AI 服务进行的行动，该行动突破了 600 多个 FortiGate 防火墙。

Source: https://hubs.li/Q043YRMg0

红色报告 2026：勒索软件加密率下降 38% 的原因

恶意软件正变得越来越聪明。红色报告 2026 揭示了新型威胁如何利用数学方法检测沙盒并隐藏于明处。下载对 110 万恶意样本的分析，了解前 10 大技术手段，并检查您的安全体系是否已失明。