Anthropic称发现首例AI主导的网络间谍活动，背后细节有哪些？

这份把“AI主导的网络间谍活动”说得很有戏的报告，最后给出的结论几乎没有能支撑它的关键证据。

说点正经的背景吧。真正做归因的老把式，喜欢把事情摆得明明白白。像2018年9月美国司法部对朝鲜黑客Park Jin Hyok和Lazarus组织的指控，那份文件就不是随手写写就发的。那是一份179页的刑事诉状，加上相关调查材料，散落的线索加起来差不多有两百页。调查员不是拍脑袋的，他们把IP轨迹、邮箱注册时间、恶意代码里重复出现的指纹、服务器租赁记录、各类基础设施之间的联系，一点点串成网，最后指着几起看似无关的入侵事件说：这是同一家伙干的，是跟某国背景有关。能做到这步，需要时间、人力、跨时间线的证据拼接，还有那种细致到把发包单、租赁账单、邮件头信息都翻出来的耐性。

回过头看那份只有十三页的短报告。它把AI描绘成能自我驱动、一条龙完成侦察、漏洞验证、提权、横向移动、抓凭证、外带数据的“大脑”。技术点听着确实吸睛：把重复性动作交给AI代理跑，渗透速度能上去、覆盖面能扩大。问题在于，这事本身并不稀罕。自从2023年ChatGPT冒头之后，学术圈和开源社区里就有人在做把渗透测试自动化的研究和工具。arXiv上有论文，Github上有脚本，扫描器、漏洞利用模块、LLM提示模板、云主机，一套东西拼起来，门槛并不是国家才能搭的。换句话说，自动化和规模化本身，不等于有国家撑腰。

更要命的是，报告在“把责任往某国身上推”的时候，没把支持这种结论的那几根“筋骨”拿出来给人看。做归因时常用的证据类型有好几样：比如基础设施复用——同一批服务器、域名之前被其他已归因事件用过；代码复现指纹——恶意样本里那套独特写法或复用的函数；工具链特征——用的编译器、链接方式、时间戳；还有攻击时间和活动节奏是否和某个时区吻合。这些都是把嫌疑从“某个可能性”变成“可以指认”的关键。短报告里对这些维度几乎没有交代，或者只是泛泛带过。没有跨事件的证据重合、没有服务器账单轨迹、没有邮箱注册的时间线，单凭“自动化”和“规模感”就断定国家支持，是跳得太远了。

细看它描绘的攻击过程，那也就是套典型的自动化渗透流水线：先大规模扫端口，挑出潜在目标，自动化试探已知漏洞，拿到初始访问后继续自动化抓凭证、横向渗透，最后把数据打包传输出去。技术上确实能把这些环节串成链条，但战术上这类做法已经在行业里被讨论了很多年。把重复活儿交给脚本、代理去跑，本质上是省工省时，不是某种独享的黑科技。按门槛来看，有一定编程能力的人，花点时间也能复现类似链条。

我比较在意的一点，是那份报告在“置信度高”的表述上很干脆，但支撑这种高置信的证据链看不到。像司法部那类长篇档案，会把租用服务器的支付记录、域名注册时留下的邮箱、作案者偶尔露出的身份线索，一样样核实比对。正是这些零散但一环扣一环的证据，把一桩又一桩看似孤立的入侵，粘成了同一张网。短报告里没有这些来回对照的工作，读起来就像是把结论先画好了，再去找几笔可以凑上去的技术描述。

再把目光放到技术痕迹上。侦察留下的指纹、恶意代码里重复的字符串、操作账户的注册轨迹、服务器启停的时间线，这些细碎的证据往往最能说明问题。还有一些更隐蔽的东西，像开发者的写代码习惯、错误信息里特有的词语、工具编译时产生的时间戳和元数据——这些小细节，很多时候比大段的技术说明更有说服力。短报显得把重点放在“AI能做什么”上，而对这些“能证明是谁做的”痕迹交代不足。

一点也不能把AI的作用全盘否定。把反复的侦察、漏洞验证、凭证抓取交给自动化流程跑，确实能把效率提上来，也会扩大攻击面。这是事实，也不是耸人听闻的事。问题是做归因时，得分清楚“技术上可行”和“证据能证明谁干的”两件事。把自动化程度直接等同于国家支持，那就像看到某种复杂机器就断定背后是国家级工厂干的——还得看机器上有没有那家工厂特有的标签和账单。

再说语气和做法。归因不是打快板的活，像办案子一样，需要把每一条证据反复核验、交叉比对。短短几页就把高置信度结论摆出来，听着更像公告而不是经得起推敲的溯源报告。有人写报告是为了发声，有人写报告是为了把链子一环一环扣好。读这份材料，会让人觉得后者没做足。

在我看，这样的报告放出来，会有几种后果。会让人对真正严谨的调查工作更怀疑，会把公众的注意力往耸动的结论上拉，而这些结论背后可能并没有相应的证据承托。也可能让一些非国家行为者混水摸鱼——谁都能把几套开源工具拼凑出“AI化”的攻击痕迹，借此逃避责任或误导视线。日子久了，信任这个东西就会被一点点磨薄。