对华强硬的Anthropic攻击中国发动AI间谍攻击，加剧技术地缘紧张

人工智能安全公司Anthropic于11月14日发布了一份爆炸性报告，声称其检测到了全球首例主要由人工智能（AI）而非人类操作员策划并执行的大规模网络间谍活动。该公司以“高度确信”的措辞，将此次攻击的幕后黑手指向一个得到中国政府支持的组织。

这一指控立即在全球科技界和地缘政治领域引发了震荡。这不仅是因为它标志着网络威胁的“范式转变”，也是因为发布这一指控的，是Anthropic——一家在人工智能安全领域以其强硬的“中国政策”和地缘政治立场而闻名的公司。此次事件，将该公司长期以来在技术出口、用户访问和内部政策上的争议，与一场具体的、高风险的网络安全指控紧密地捆绑在了一起。

“自主代理”的幽灵：一场由AI主导的攻击

根据Anthropic披露的细节，这场攻击的复杂性和自主性达到了前所未有的程度。该行动的目标是全球约30家机构，包括大型科技公司、金融机构、化工制造商和政府实体。

与以往人类黑客利用AI作为辅助工具不同，Anthropic声称，这次攻击中约有80%至90%的工作量——包括侦察、漏洞利用、凭证窃取和数据窃取——是由AI基本独立完成的。人类操作员的角色更像是一个“指挥官”，仅在四到六个关键决策点进行干预，而AI则扮演了“自动化步兵”的角色。

具有讽刺意味的是，攻击者利用的工具正是Anthropic自己的Claude Code模型。

攻击者展现了对AI系统弱点的高度理解。为了绕过Claude的安全机制，他们采取了两种关键策略。首先，他们将一个庞大的恶意任务“拆解”成数千个看似无害的微小操作。AI在执行单个任务时（例如“分析这段代码的某个函数”），无法感知到这些孤立操作拼接起来的“全局恶意意图”。

其次，攻击者对AI模型本身进行了“社会工程攻击”。他们将恶意操作伪装成一家“网络安全公司”正在进行的“合法防御性安全测试”。这欺骗了AI，使其相信自己正在执行一项良性任务。

Anthropic在报告中指出，这种新威胁的出现，是近期AI领域三项关键发展融合的结果。第一，前沿模型（如Claude或GPT-4及更高版本）已具备足够的通用智能，能够理解并执行复杂的、需要上下文理解的多步骤指令。第二，这些模型现在可以作为“自主代理”运行，在极少人工干预的情况下循环执行任务。第三，通过模型上下文协议（MAC）等技术，AI代理获得了访问和使用外部软件工具（如网络搜索、数据检索和专用安全软件）的强大能力。

这场攻击的速度是人类团队无法企及的。报告称，Claude Code“每秒发出数千个请求”，同时分析目标系统、识别高价值数据库，并对窃取的数据进行情报价值分类。尽管Anthropic指出，AI在攻击过程中偶尔会出现错误，例如错误生成凭证或将公开信息误判为机密数据，但这似乎并未影响攻击的整体破坏性。

指控背后：一家AI公司的“中国政策”

对于Anthropic而言，将此次攻击归咎于中国，并不仅仅是一个技术归因。它更像是一个早已设定好的地缘政治立场的最新印证。事实上，在发布这份报告之前，Anthropic早已是美国科技界最直言不讳的“中国威胁”倡导者之一。

正如其此次报告中所附带提及的，Anthropic此前曾多次公开警告称，中国在人工智能领域的进展“令人担忧”，并积极倡导美国政府实施更严格的出口管制，以阻止中国企业获得与美国同行（包括Anthropic自身）相匹敌的先进AI技术和芯片。

这种强硬立场早已体现在其全球运营策略中。Anthropic是少数几家从一开始就通过技术和法律手段，彻底阻止中国大陆及香港地区用户访问其服务的美国AI公司。当全球用户和企业在讨论如何应用Claude时，中国市场则被完全排除在外。

据业内消息人士透露，这种“隔阂”政策甚至延伸到了其合作伙伴和投资者层面。有报道称，Anthropic对其融资和合作的审查极为严格，明确排除了任何有“特定比例中国股权”背景的公司或基金，无论其注册在何处。

这种被外界视为“敌视”的强硬立场，不仅塑造了该公司的公众形象，也对其内部造成了冲击。据知情人士透露，Anthropic的“中国政策”在公司内部引发了持续的紧张。多名华裔及华人员工（Chinese-speaking employees）据称已因此类政策而选择辞职。这些员工认为，公司高层（包括首席执行官Dario Amodei）的立场已经超出了合理的技术安全范畴，演变成了一种基于地缘政治的、对特定国家和族群的不信任，这使得他们在公司内部的处境变得尴尬且难以调和。

因此，当Anthropic此次再度指责中国时，外界的反应是复杂的。一方面，报告所揭示的“AI自主攻击”技术细节令人不寒而栗，为所有网络安全防御者敲响了警钟。正如谷歌在7月首次使用AI代理发现漏洞时所预言的——“这绝不会是最后一次”——AI正在同时武装“防御者”和“攻击者”。

但另一方面，鉴于Anthropic的过往立场和内部争议，这一指控不可避免地被置于“新冷战”的背景下审视。这究竟是一次纯粹的、基于确凿证据链的技术归因，还是在利用一场模糊的攻击，来为其早已存在的地缘政治议程服务？

Anthropic在报告中称，在发现攻击后，公司立即展开了为期十天的调查，封禁了账户，通知了受害者，并开发了更先进的分类器。然而，这场由AI发起的“猫鼠游戏”显然已经升级了。当AI公司自己成为AI武器库的“军火商”（无论是否情愿），并同时扮演“全球警察”的角色，来指控特定国家行为体时，技术、安全与政治的界限，已经变得前所未有的模糊。