AI被极端组织“武器化”：低成本放大招募与网络威胁；从被动防御到智能对抗：AI如何重塑勒索软件防线| 牛览

新闻速览

• 从被动防御到智能对抗：AI如何重塑勒索软件防线

• Creative Commons （CC）“谨慎背书”pay-to-crawl：AI爬虫开始为内容付费？

• AI被极端组织“武器化”：低成本放大招募与网络威胁

• 钓鱼攻击全面进化：从邮件到浏览器的隐形战场

• VPN被弃用转向零信任架构，Asahi在勒索软件事件后全面加固防线

• 隐私法正在重写安全蓝图：CCPA/CPRA、SEC与GDPR同周收紧

• Soverli获260万美元融资，用于开发安全智能手机操作系统

• 预警失效！英国 NHS 被袭致王室信息泄露，Clop 团伙瞄准关键基础设施

• MI6首位女掌门：网络战只是俄混合威胁冰山一角

• 伪装维修实为“黑飞”助攻：上海破获多起无人机破解案，店主被刑拘

热点观察

AI被极端组织“武器化”：低成本放大招募与网络威胁

极端组织正加速试验人工智能。IS支持者近期在亲IS论坛呼吁将AI纳入行动，认为其低门槛有利于招募。研究显示，IS等松散、资源有限的组织已利用ChatGPT等生成式AI制作逼真图片、视频与深度伪造音频，并通过社交平台算法放大传播，用于招募、恐吓与舆论操纵。SITE Intelligence Group发现，IS还借助AI快速多语翻译信息。案例包括以色列—哈马斯冲突期间的虚假图像，以及俄罗斯音乐厅袭击后流传的AI宣传视频。专家指出，AI降低了网络攻击与钓鱼的技术门槛，甚至可能被用于生化武器辅助研发，该风险已被纳入美国国土安全部威胁评估。尽管其高级应用仍属“愿景阶段”，立法者正推动信息共享与年度风险评估，以应对不断上升的滥用威胁。

https://www.securityweek.com/militant-groups-are-experimenting-with-ai-and-the-risks-are-expected-to-grow/

VPN被弃用转向零信任架构，Asahi在勒索软件事件后全面加固防线

日本酿酒巨头Asahi Group Holdings在遭遇勒索软件攻击仅三个月后，宣布重塑其网络安全战略。公司CEO Atsushi Katsuki于12月15日表示，已将网络安全提升为最高管理层优先事项，并考虑设立集团级专职网络安全部门。该决定源于9月的一起勒索软件事件：攻击组织Qilin入侵核心系统，加密在线服务器并感染员工终端，导致日本国内自动化接单和发货流程一度中断。事件造成约200万人个人数据泄露，其中包括150万名Asahi客户，业务恢复预计持续至2026年2月。

Asahi承认原有防护措施被“轻易突破”，已决定弃用VPN，转向更严格的零信任架构。财务影响亦已显现，2025年11月日本酒类销量同比下滑20%，公司连续第三个月暂停按品类和品牌披露月度销售数据。

https://www.infosecurity-magazine.com/news/asahi-launch-cybersecurity/

钓鱼攻击全面进化：从邮件到浏览器的隐形战场

2025年，钓鱼攻击在身份攻击方向出现显著演进，依然是攻击者最有效的初始入侵手段之一。数据显示，约三分之一的钓鱼攻击已脱离电子邮件，通过LinkedIn私信、Google搜索结果和恶意广告传播，绕过成熟的邮件安全防护。攻击者利用被入侵的高信誉账号或SEO优化页面实施“水坑攻击”，批量窃取凭据并在黑市流转。

技术层面，Phishing-as-a-Service(PhaaS)套件成为主流。Tycoon、Sneaky2FA、Evilginx等反向代理工具支持Attacker-in-the-Middle攻击，可实时窃取会话，从而绕过MFA。为规避检测，钓鱼页面普遍采用CAPTCHA、Cloudflare Turnstile、多级跳转和基于JavaScript的多阶段加载，使传统URL封堵和流量分析效果大幅下降。

与此同时，攻击者开始绕过“抗钓鱼认证”本身，通过Consent phishing、Device code phishing、恶意浏览器扩展等方式直接接管账户。新型ClickFix与ConsentFix技术利用社会工程诱导用户执行本地操作或复制OAuth关键URL，显著降低了端点检测的可见性。

安全团队需调整威胁模型：仅防护邮件和部署MFA已不足，应将检测与响应前移至浏览器层，弥补身份攻击的关键盲区。

https://www.bleepingcomputer.com/news/security/2025s-top-phishing-trends-and-what-they-mean-for-your-security-strategy/

MI6首位女掌门：网络战只是俄混合威胁冰山一角

英国秘密情报局（MI6）首位女性局长 Blaise Metreweli 在就职后首次公开演讲中发出警告，称奉行扩张主义的俄罗斯正通过 “灰色地带” 战术对英国发起混合威胁，此类战术烈度低于战争门槛，却已形成 “全域前线”。

Metreweli 列举威胁形式包括关键基础设施遭网络攻击、机场与基地遭无人机袭扰、海上挑衅、国家支持的纵火破坏及舆论操纵等。她强调，俄输出混乱的策略是其对外交往的固有手段，英国需持续施压迫使其改变考量。

她提出 MI6 将以果敢强化行动能力，既要传承特工行动传统，也要让技术贯穿所有工作环节，要求探员精通代码与 Python 语言，与掌握人力情报资源同等重要。同时她指出，21 世纪情报工作的核心挑战，是用智慧驾驭技术而非单纯比拼技术实力。

此前英国已因 2018 年神经毒剂袭击事件制裁俄军方情报机构，近期又针对俄、中相关组织实施制裁，指其通过网络攻击和舆论操弄破坏西方利益。

https://therecord.media/mi6-chief-speech-russia-threats-warning

安全事件

伪装维修实为“黑飞”助攻：上海破获多起无人机破解案，店主被刑拘

上海警方近期在“黑飞”专项整治中连续破获5起无人机破解服务案件。其中，虹口公安于10月30日抓获犯罪嫌疑人胡某，其以网店名义提供无人机电池维修服务，实则通过篡改电池底层数据解除原厂充放电限制，并利用非法获取的破解系统提供“限高解锁”“禁飞区绕过”等服务，收费200至500元不等，累计非法获利超1万元。此类破解行为不仅破坏电池过充/过放保护机制，易引发自燃或爆炸，还使无人机脱离监管，构成公共安全威胁。胡某因涉嫌提供侵入、非法控制计算机信息系统程序、工具罪已被刑事强制措施。警方强调，无人机“黑飞”及使用破解软件逃避监管属违法行为，严重扰乱空域秩序，呼吁飞手严格遵守飞行报备与限高禁飞规定。

https://www.secrss.com/articles/86090

预警失效！英国 NHS 被袭致王室信息泄露，Clop 团伙瞄准关键基础设施

Google 威胁研究团队披露，英国国家医疗服务体系（NHS）因 Oracle 软件漏洞遭 Clop 勒索软件团伙攻击，超 16.8 万份文件被窃取并于上周在暗网泄露。该漏洞早在 2023 年 9 月就被英国国家网络安全中心（NCSC）发现并预警，但其可被利用的特性仍被活跃于俄罗斯的 Clop 团伙盯上。

泄露数据不仅包含大量敏感医疗信息，还涉及英国王室成员、总检察长及上议院关键人物，其中不乏王室成员的癌症治疗记录，引发严重政治与舆论危机。值得注意的是，同款 Oracle 软件也服务于英国财政部，存在后续攻击风险。

事发后 Oracle 已发布漏洞补丁，英国国防部证实漏洞已修复，NHS 明确拒绝支付赎金。目前 16.8 万份泄露文件的具体归属仍在核查，相关调查正在推进。此次事件凸显公共服务领域关键基础设施的网络安全短板，亟需强化防护机制。

https://www.cybersecurity-insiders.com/google-threat-research-uncovers-data-breach-in-nhs-linked-to-oracle-vulnerability/

攻防技术

从被动防御到智能对抗：AI如何重塑勒索软件防线

面对全球勒索软件威胁的持续升级，传统基于签名的防御手段已显疲态，而AI技术的引入为网络安全带来了质的飞跃。不同于传统工具，AI驱动的系统通过分析网络、端点及应用的“正常”行为模式，能实时识别非法文件加密、异常登录等早期攻击迹象。在响应环节，AI可实现秒级自动化隔离与阻断，有效遏制攻击在网络内的横向扩散。

此外，借助海量威胁情报与机器学习模型，AI不仅能预测新型攻击技术，还能通过监测异常数据传输，精准防范数据外泄引发的“双重勒索”。结合对备份完整性的实时监控及针对网络钓鱼的高精度识别，AI已超越单一工具的范畴，成为构建主动、自适应网络安全防御体系的核心驱动力。

https://www.cybersecurity-insiders.com/how-ai-can-help-fight-the-ransomware-threat/

产业动态

隐私法正在重写安全蓝图：CCPA/CPRA、SEC与GDPR同周收紧

2025年12月7—14日，全球隐私监管作为网络安全“硬控制”明显加码。美国方面，加州CCPA/CPRA最终规则强化隐私告知、消费者访问/更正等权利，并把网络安全审计与风险评估写得更细，推动企业建立可验证的数据盘点与治理；FCC撤销其2025年1月将CALEA第105条解释为广泛网络安全义务的立场，暂停电信业“一刀切”强制框架；SEC在检查中加大对Regulation S-ID（身份盗用防控）与Regulation S-P（客户信息保护）的关注，要求能应对AI驱动威胁、账户接管与欺诈转账。国际上，拟议GDPR修订讨论将泄露通报期限延至96小时，并进一步明确“个人数据”边界；Australia与New Zealand更新指引，强调间接收集透明度、跨境传输与自动化决策披露。总体趋势是“安全与隐私”合流，2026合规将更依赖持续、风险导向治理及NIST框架对齐。

https://enginerds.com/insights/Cybersecurity/Privacy%20regulations/2025/12/15

Creative Commons（CC） “谨慎背书”pay-to-crawl：AI爬虫开始为内容付费？

Creative Commons（CC）在今年提出开放AI生态框架后，近期对“pay-to-crawl（按爬取付费）”机制表示“谨慎支持”。该机制由Cloudflare等推动，核心是当AI爬虫抓取网站内容用于模型训练与更新时自动计费，以补偿内容生产者。与过去搜索引擎爬取带来流量回馈不同，用户经由AI chatbot直接获得答案后往往不再点击来源，导致出版机构搜索流量下滑、收入承压。

CC认为，若负责任落地，pay-to-crawl可帮助网站维持内容供给，避免内容被迫转入更封闭的付费墙，并为中小出版商提供比“一对一内容交易”更可行的变现路径。与此同时，CC警告该模式可能加剧网络权力集中，并影响researchers、nonprofits、educators等公共利益主体获取内容。为此，CC提出原则：不应默认全站启用、避免一刀切规则，支持throttling而非仅blocking，保障公共利益访问，且系统应open、interoperable并采用标准化组件。除Cloudflare外，Microsoft、ProRata.ai、TollBit等也在布局；RSL Collective推出Really Simple Licensing（RSL）规范，已被Cloudflare、Akamai、Fastly等采纳，CC亦表示支持。

https://techcrunch.com/2025/12/15/creative-commons-announces-tentative-support-for-ai-pay-to-crawl-systems/

Soverli获260万美元融资，用于开发安全智能手机操作系统

瑞士网络安全初创公司Soverli近日宣布完成260万美元的pre-seed轮融资，由Founderful领投，ETH Zurich基金会、Venture Kick及多位天使投资人跟投。作为苏黎世联邦理工学院（ETH Zurich）的衍生企业，Soverli开发了一款“主权操作系统”，可在标准智能手机上与Android或iOS并行运行，彼此隔离。用户一键即可切换至该高安全环境，即使主系统遭恶意软件感染，仍能保障关键通信安全。该方案无需硬件改造、不影响用户体验，亦无需重启设备。目前，其早期原型已吸引政府、公共部门及关键基础设施机构测试应用。公司计划利用本轮融资扩充工程团队、拓展OEM合作、支持更多机型，并加强与移动设备管理（MDM）系统的集成。

https://www.securityweek.com/soverli-raises-2-6-million-for-secure-smartphone-os/