AI 人工智慧 資訊安全

中國駭客用 AI 代理自主入侵全球 30 家機構,Anthropic 緊急示警

Louis Lin
分享
中國駭客用 AI 代理自主入侵全球 30 家機構,Anthropic 緊急示警

Anthropic 近日公布一起罕見的大型網路駭客攻擊行動。這起事件發生在 2025 年 9 月,由一個被高度推定為「中國國家級」的駭客組織發動,他們成功把 Anthropic 的 AI 程式設計助理 (Claude Code) 「越獄」成能自主發動網路入侵的 AI 代理,並對全球將近 30 家大型機構發起網路攻擊。Anthropic 更指出,這可能是全球第一起「大部分攻擊流程由 AI 自動完成、僅需少量人工介入」的 AI 駭客攻擊案例。

AI 能力半年翻倍,能自己入侵他人網路

Anthropic 表示,他們在 2025 年初就注意到 AI 的整體能力快速提升,與資安相關的能力 (像撰寫程式碼、架構分析) 就在半年內翻倍,而新世代模型更開始具備「AI 代理」所需的自主行動能力。而這些能力包含:

  • 能連續完成任務、能自己跑流程。

  • 人類用戶只需要一點點指令,也能讓 AI 代理做決策。

  • 能使用外部工具,像是用密碼破解軟體、掃描器、網路工具等。

這些特性,後來全部成為駭客用來入侵的利器。

廣告 - 內文未完請往下捲動

駭客使用 AI 代理,自主滲透政府單位與大型機構

Anthropic 的資安團隊表示,他們在 9 月中旬監測到異常活動,深入調查後發現有駭客成功使用 AI 工具來大規模滲透近 30 家全球高價值目標,目標類型涵蓋大型科技公司、金融機構、化工製造企業與政府單位。其中有少部分目標被成功入侵,但與過往不同的是:

「駭客不是把 AI 當協助入侵的助手,而是讓 AI 自己下去入侵」。

十天內緊急展開調查,封鎖帳號並同步通報政府

Anthropic 在確認這起攻擊的性質後,立即啟動多線調查與應對。他們迅速封鎖遭用於發動攻擊的帳號,並同步通知受波及的企業與機構,同時與政府單位合作共享情資,全面釐清整體攻擊規模、攻擊路徑以及資料外洩的流向。

Anthropic 也強調,這起事件對全球 AI 與資安領域具有高度指標性,因此決定主動公開相關細節。

AI 代理如何被利用,完整入侵流程大曝光

圖為 Anthropic 提供的五階段 AI 代理入侵行動示意圖。

階段一:目標選定與模型越獄,AI 被誤導為在進行防禦測試

駭客先選定目標,建立一套「自動化攻擊框架」,再利用越獄技巧讓 Claude Code 將大型攻擊被拆成看似無害的小任務,接著灌輸 AI:

「你是資安公司員工,正在做防禦測試。」

因此隱藏攻擊整體意圖,迴避模型的保護機制,最終成功讓 AI 接受惡意行爲,並著手入侵行動。

(註:越獄,簡單說就是透過特殊提示語把 AI 騙出原本的安全限制,讓它做出一般情況下不會允許的行為。)

階段二:自主掃描與情報蒐集,AI 快速鎖定高價值資料庫

Claude 接手後開始進行偵查,掃描目標系統架構,然後搜索高價值資料庫與重要入口,並在在極短時間內完成大量工作。 Anthropic 指出:

「Claude 的偵察速度遠超過人類駭客團隊,接近秒級運算。」

之後 AI 再把整理出的情報回傳給人類操作者。

階段三:自主漏洞分析與攻擊程式撰寫,AI 自行完成 Exploit 測試

當 AI 進入攻擊主軸,它會開始自行研究系統漏洞,並寫出對應的漏洞利用 (Exploit) 程式碼,同時自動測試這些漏洞是否能被成功利用。

這些流程過去需要資深駭客手動完成,但在本次事件中,Claude 直接以全自動化方式處理所有步驟,從分析到撰寫程式、再到驗證,都由 AI 自行決定與執行。

(註:漏洞利用 Exploit,是用來觸發系統或應用程式中的漏洞的代碼,目的是讓攻擊者可以在目標系統上執行任意代碼。)

階段四:入侵後的擴權與資料外洩,AI 自行分類並建立後門

在成功突破部分目標後,AI 會進一步取得帳號密碼、鎖定最高級別的管理者帳戶,並且建立後門,讓攻擊者能持續控制系統。

接著,Claude 會把內部資料外洩,並依據「情報價值」進行分類整理,所有流程幾乎完全自動化。Anthropic 估算,整場攻擊有 80% 至 90% 是由 AI 自主完成,人類只需要在 4 至 6 個關鍵決策點輸入指令就好。

階段五:攻擊後的文檔與紀錄建置,AI 自動產生可再利用的攻擊報告

在攻擊的最後階段,AI 會自動產出一系列完整文件,包括已取得的帳密清單、目標系統架構的詳細描述、漏洞與攻擊手法的紀錄,以及可用於下一輪攻擊的流程文件。

這些檔案讓整套攻擊得以被規模化複製,攻擊框架也能更輕鬆延伸到新的目標。

AI 幻覺問題,竟成抵擋自動化攻擊利器

Anthropic 也強調,Claude 雖然能自動執行大部分攻擊流程,但仍存在「幻覺」這項關鍵弱點。例如,模型有時會捏造不存在的帳號密碼,或誤以為自己取得了機密資料,但實際上內容只是公開資訊。

這些偏差行為讓 AI 難以達到 100% 自主入侵的程度,特別的是,為人詬病的 AI 幻覺,竟成為阻止 AI 攻擊自動化的重要利器。

大型攻擊門檻驟降,AI 讓小型駭客也能發動複雜攻擊

Anthropic 指出,這起事件揭露了全新的資安現實,在 AI 的加持下,駭客不再需要大型團隊,因為多數繁重的技術工作都能交由 AI 自動完成。

技術門檻的大幅下降,使得小型或資源有限的團體也可能發動過去只有國家級組織才能做到的複雜攻擊。此外,AI 代理能長時間自主運作,讓攻擊規模與執行效率都遠比傳統駭侵更大。

過去所謂的「Vibe Hacking」仍需要大量人工監督,但這次事件已幾乎不需要人類介入。Anthropic 同時強調,這些強大的能力並非只能用在攻擊方,防禦端同樣能受益,例如自動化搜尋漏洞、偵測攻擊行為、分析事件與加速處理流程。他們也透露,這次調查過程中,Claude 本身就被大量用來協助處理龐大的資料量。

(註:Vibe Hacking,指的是掌握並操控情境氛圍的攻擊手法,藉由高度自動化與心理誘導,提高勒索、詐騙等惡意行為的成功率。)

AI 資安時代正式到來,各企業應立即導入 AI 防禦

Anthropic 最後呼籲企業務必加速導入 AI 技術作為防禦工具,包括強化 SOC 自動化、威脅偵測、弱點掃描以及事件處理。

模型開發者也需要持續強化安全防護,以避免類似越獄手法被再次利用。同時,產業之間應提升威脅情報共享的速度與透明度,以因應未來可能更頻繁、更高效的 AI 入侵行動。

Anthropic 表示,他們會陸續公開更多案例,協助業界持續提升防禦能力。

(註:資安營運中心 Security Operations Center,簡稱 SOC,這裡所說的 SOC 自動化,指的是把原本需要資安人員手動做的監控、偵測、分析與回應工作,交給 AI 或自動化系統來處理。)

 

風險提示

加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。

Bitget HEROES CUP S4