一個犯罪駭客組織動用多個人工智慧代理,包括一個 Claude model, 來建構並測試超過 70 種讓惡意程式躲過主流資安軟體偵測的方法。
重點整理:
- 某威脅行為者執行 AI 代理,開發並壓力測試可躲避主要偵測工具的惡意程式。
- 一個 Claude Opus 4.5 代理負責制定規則,其餘代理分別負責測試、隱匿與文件記錄。
- 該行動聲稱成功率逐步提高,但調查人員表示,相關證據從未支持這項說法。
Sophos 揭露 AI 建構的規避實驗室
調查起於客戶網路內一個異常端點,因為在測試資料夾中拋出多個檔案而觸發警示。 Sophos 的分析人員 detected 到一套更龐大的工具組,目的是在已被入侵的機器上保持隱形。 許多指令碼以俄文撰寫,且至少部分由 AI 產生,而非人工輸入。
攻擊者架設了一組虛擬機叢集,將不同系統分別對上 CrowdStrike 與 Microsoft Defender 產品, 另外留下一台未受防護的控制主機。 一部 Linux 伺服器透過 Sliver 框架運行指令通道,整套工具隱藏在 Cobalt Strike 流量、Telegram 訊息, 以及用來遮蔽真實伺服器的 Cloudflare 中繼後方。
多個代理分工合作。 執行 Claude Opus 4.5 的那個代理負責為其他代理設定基本規則, 其他代理則尋找防禦繞過方式、強化作業安全、將程式碼注入受信任的 Windows 程式, 並記錄每一次測試結果。
延伸閱讀: Can Chainlink Hold $8.05? On-Chain Data Says Buyers Are Loading Up
為何 Claude 的角色讓防禦方憂心
這個團隊大量依賴 Cursor 這類 AI 程式開發工具, 並透過開放協定把代理接上其程式庫,讓代理得以挖掘公開研究資料, 並把各種技術對應到廣泛追蹤的攻擊戰術目錄。 其核心是一個 Python 工具,將惡意載荷包裹在約 80 個加密與偽裝模組中,以躲避掃描器。 這些模組針對三套競爭對手防禦系統測試了 70 多種規避技巧。
這項專案自稱是「紅隊」用途。 研究人員 argued 這種說法主要是為了規避 AI 的防護欄杆——那些阻止 AI 撰寫惡意程式碼的限制, 類似手法也曾在據報攻擊墨西哥政府目標時出現。
AI 網路犯罪威脅的脈絡
最值得注意的細節,反而是 AI 沒做到的事。 調查人員 stressed 沒有任何模型自行行動,每一個建置步驟都由人類操作員審查並批准。 開發 Claude 的 Anthropic 已被告知相關調查結果。
實驗室筆記聲稱,其規避能力每次迭代都在精進, 但測試數據從未證實這點,研究人員 traced 原因到 AI 幻覺。 Sophos 將此行動與勒索軟體及資料竊取活動連結起來, 其一位主管形容,該威脅行為者在全球多地活躍,包括美國多家組織。
類似的 AI 輔助工具在 2026 年陸續出現在多種惡意程式與勒索軟體套件中, 分析師們 reporting 這類代理主要是降低既有攻擊技術的成本,而非創造全新的威脅。
Read Next: Bitcoin Briefly Slips Under $62K As Liquidations Sweep The Market