微软警告：网络威胁组织正越来越多地利用人工智能发动攻击

IT之家 3 月 8 日消息，微软表示，网络威胁组织正越来越多地在其行动中运用人工智能，以加快攻击速度、扩大恶意活动规模，并降低网络攻击全流程的技术门槛。

微软威胁情报部门的一份最新报告指出，攻击者正将生成式人工智能工具用于多种任务，包括信息侦察、网络钓鱼、攻击基础设施搭建、恶意软件制作以及入侵后的后续行动。

在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、汇总窃取的数据、调试恶意软件，以及辅助编写脚本或配置攻击基础设施。

“微软威胁情报部门观察到，目前人工智能的多数恶意使用集中在利用大语言模型生成文本、代码或多媒体内容。威胁组织利用生成式人工智能撰写钓鱼诱饵、翻译内容、汇总窃取数据、生成或调试恶意软件，以及搭建脚本或攻击基础设施。”微软警告称，“在这些用途中，人工智能起到了效能倍增器的作用，降低了技术难度并加快执行速度，而操作人员仍掌控攻击目标、攻击对象和部署决策。”

微软已观测到多个网络攻击组织将人工智能融入攻击行动，其中包括被追踪为“碧玉冰雨（Jasper Sleet，Storm‑0287）”和“珊瑚冰雨（Coral Sleet，Storm‑1877）”的朝鲜相关攻击组织，这些组织将该技术用于远程 IT 人员渗透计划。

在这类行动中，人工智能工具帮助生成逼真的身份信息、简历和沟通内容，以骗取西方企业的录用资格，并在入职后维持访问权限。

碧玉冰雨组织利用生成式人工智能平台简化虚假数字身份的制作流程。例如，该组织成员通过提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份画像。在此场景中，威胁组织可能会使用如下提示词：

提示示例 1：“生成 100 个希腊姓名。”

提示示例 2：“使用简 · 多伊（Jane Doe）这个名字生成一组邮箱地址格式。”

碧玉冰雨还利用生成式人工智能查看专业平台上的软件开发及 IT 相关岗位招聘信息，提示工具提取并汇总所需技能，再据此为特定职位量身打造虚假身份。

报告还介绍了人工智能如何被用于辅助恶意软件开发与攻击基础设施搭建：威胁组织利用人工智能编码工具生成、优化恶意代码，排查错误，或将恶意软件组件移植到不同编程语言。

部分恶意软件实验已出现人工智能赋能特征，可在运行时动态生成脚本或修改行为。

微软还观测到珊瑚冰雨组织利用人工智能快速搭建虚假公司网站、配置攻击基础设施，并对部署内容进行测试与故障排查。

微软表示，当人工智能安全防护机制试图阻止这些恶意用途时，威胁组织会使用破解限制（越狱）技术，诱骗大语言模型生成恶意代码或内容。

除生成式人工智能外，微软研究人员还发现，威胁组织已开始尝试使用智能体式人工智能，实现任务自主执行并根据结果自适应调整。

不过微软指出，目前人工智能主要用于辅助决策，而非发起完全自主的攻击。

由于许多 IT 人员渗透攻击依赖滥用合法权限，微软建议企业将此类骗局及类似行为视为内部风险。

此外，由于这些人工智能驱动的攻击与传统网络攻击模式相似，防护方应重点检测异常凭证使用、强化身份系统抵御钓鱼攻击，并保护可能成为未来攻击目标的人工智能系统。

IT之家注意到，并非只有微软发现威胁组织越来越多地利用人工智能发动攻击、降低入门门槛。谷歌近期报告称，威胁组织在网络攻击全流程中滥用 Gemini 人工智能，这与亚马逊在相关行动中观测到的情况一致。亚马逊及网络安全博客 Cyber and Ramen 近期也通报了一起攻击事件：某威胁组织利用多款生成式人工智能服务，攻破了超过 600 台 FortiGate 防火墙。