Anthropic 红队 · LLM ATT&CK Navigator

区分高低风险的，不再是技术，而是编排

红队花一年盯着一个问题：威胁分子到底怎么拿 AI 搞攻击。把 832 个被封恶意账号映射到 MITRE ATT&CK 之后，戳破了安全圈一个老假设——「一个攻击者有多危险，看他技术多老练、会的招数多不多」。数据说：不是。

旧轴 / 失效技术老练度 × 技术广度 r = 0.28 r = 0.27

↓ 技术水平、用什么接口、用了多少招，都被证明是弱预测因子

新轴 / 真因 agentic 编排能力（scaffolding）

33% → 56%

中风险及以上账号占比，半年内涨了约 1.7 倍——而这批人技术并没变高。AI 把「打完整条攻击链」这件以前只有顶尖黑客干得了的事，下放给了中低水平的人。

来源：Anthropic 红队博客《Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator》（red.anthropic.com，2026-06-03，作者 Kyla Guru / Alex Moix / Jacob Klein）· 本文为中文深度还原，关键判断英文逐字保留

A decoder ring · for non-security readers

先把这几个词说清楚

这篇里满是 T1587、横向移动、相关系数这种行话。不是安全背景也没关系，先记住下面这四个，后面全看得懂。

读前必备 · 四个词

MITRE ATT&CK 是什么？

一本全行业通用的「黑客手法字典」。安全圈把真实攻击拆成一个个标准化的「手法」，每个配编号、命名和真实案例，让大家用同一套词对话。这篇做的事，就是把 AI 相关的攻击行为，往这本字典上一条条对。

tactic、technique、T 编号怎么读？

分两层。tactic（战术）是「想达成什么目的」，全套 14 个，比如「拿到凭证」「横向移动」。technique（技术）是「具体怎么做」，每个有个 T 开头的编号（如 T1003）；带小数点的（T1587.001）是更细的子手法。看到 T 编号，就当成一个具体招式的身份证号。

killchain（杀伤链）是什么？

一次完整攻击从头到尾的顺序阶段：踩点侦察 → 打进去 → 拿凭证 → 在内网一台台横向移动 → 偷数据或搞破坏。能独立打完整条链，传统上是顶尖黑客才有的本事——这篇的核心，正是说 AI 把这件事变简单了。

一年的真实数据，三个核心发现

这事不是闭门自嗨。其中一部分结果已经写进了 2026 年的 Verizon DBIR（数据泄露调查报告，安全行业的年度权威报告）。样本是 2025 年 3 月到 2026 年 3 月这一年里，因为违反 Usage Policy 的网络安全条款被 Anthropic 封掉的账号；映射到当时在线的 MITRE ATT&CK V18 版本。

832

被封的恶意账号（有足够细节能映射）

13,873

恶意行为观测总数

482

个独立技术

个 tactic（全覆盖）

每个账号还被打了一个 0–100 的风险分，用的是新方法 ARiES（AI Risk Enablement Score）。数据已匿名化。

用 AI 搞攻击的人在变多，动作越来越危险

中风险及以上占比不到一年涨了约 1.7 倍，增长集中在横向移动、凭证窃取、web shell 这类单账号风险权重最高的技术上。以前只有技术最顶尖的攻击者才能打完整条 killchain，现在这条线被打破了。而且用什么平台访问模型（API 还是 Claude Code）跟风险高低没关系，真正区分高风险的，是他们让模型干的是哪类技术。

agentic scaffolding 会让攻击高度自主

随着 AI 辅助手法越来越普遍，靠「他让模型干了什么」区分风险会越来越难。区分点会转移到 scaffolding——攻击者在模型外面套的那层代码、架构、工具，正是它让 AI 能把多个攻击阶段自己串起来。2025 年 11 月那起被拦下的间谍战就是这样：拿了满分 100，用到的技术数量却只跟中风险账号差不多。

MITRE ATT&CK 还没词汇描述这些自主动作

自主编排整条 killchain、实时决定下一步打哪、AI 自主执行而无人干预——这些在 ATT&CK 里还没有 ID 编号。13,873 条观测每条都能映射进现有类目，但真正区分最高风险账号、决定攻击速度和规模的行为，恰恰没有编号。这套分类法得扩才能装下它们。

the dividing line between low and high-risk actors is no longer technical skill but orchestration.

— 低风险和高风险之间的分界线，已经不再是技术水平，而是编排能力

The ARiES risk score

ARiES 打分法，以及为什么用加法

ARiES 把三路信号合成出来：攻击者的威胁画像、模型对「所请求的危害」贡献了多少、观察到的或潜在的影响。它综合一个账号在 Claude.ai、Claude Code、API 上的全部活动，配合安全分类器加内外部威胁情报算出来。分越高，这个被 AI 赋能的攻击者越危险。

Threat威胁

Vulnerability脆弱

Impact影响

三块相加 = 0–100 · 分到低 / 中 / 高 / critical 四档

威胁看意图明确度、技术老练度、威胁情报信号、躲检测手法（技术老练度由 Claude 根据 prompt 和工具使用打分）。脆弱看模型有多大能力促成危害、用的接口风险多高——程序化接口（API）和 Claude Code 这类 agentic 编码工具得分最高，因为最能自动化执行。影响看真实世界后果，由安全分类器加调查员评估。

为什么故意用加法，不用传统的乘法

传统网络风险公式是「威胁 × 脆弱 × 影响」，反映「这次假想攻击成不成」。乘法的毛病是：只要任何一项是零，整个分就归零。可红队想回答的是另一个问题——哪些涉 AI 的攻击者和技术，最值得防御方关注？

传统 · 乘法

威胁 × 脆弱 × 影响

任何一项为零，整条归零，因为缺一味料攻击就不会成功。它回答的是「攻击会不会得手」。

会漏掉：新手瞎试搓出一个能自我传播的蠕虫（意图≈0）；有人造出能跑的恶意软件但还没受害者（影响≈0）——这两种乘法都判「零风险」，但恰恰最该早早预警。

ARiES · 加法

威胁 + 脆弱 + 影响

把每个维度的信号独立保住，就算某一维缺失或不清楚，部分的「攻击赋能」迹象也不会被抹平。

代价：这个分不是预测攻击成不成，而是衡量一起涉 AI 的滥用有多让人担心。

How threat actors use AI today

今天的攻击者具体怎么用 AI

把 13,873 条观测铺开看，攻击者最常找 AI 帮的三件事很清楚：造攻击前的进攻工具、让工具更难被发现、从已攻陷的系统里捞数据。出现最多的技术家族是 T1587（能力开发，574/832 账号，其中恶意软件开发 560 个）。防御规避（defense evasion）是单一最大的 tactic 类别，出现在 84.4% 的账号行为里。

Tactic · Defense Evasion防御规避（最大类别）

84.4%

T1587 · Develop Capabilities能力开发（造工具/恶意软件）

69%

T1027 · Obfuscated Files混淆文件/信息（绕签名检测）

64.7%

T1005 · Data from Local System从本地系统取数据

55.9%

T1562 · Impair Defenses削弱防御（关端点安全工具）

54.9%

T1055 · Process Injection进程注入（DLL 注入/进程挖空）

30.3%

一个清晰的格局：早期用得重，进了网络反而不用

一旦真打进目标网络、要随现场环境随机应变，攻击者反而很少拿 LLM 做实时决策了。后期的几类 tactic 加起来才占全部观测的 8.7%，比单独一个「防御规避」还少。这个格局一整年都稳定。

准备阶段 · pre-engagement

重

造工具、混淆、捞本地数据。能力开发 69%、防御规避 84.4%

进网络后 · on-target

中

发现与收集在后半年微升：账号发现 +8.9%、自动化外泄 +6.2%

实战操作 · live ops

轻

横向移动仅 6.5%、提权+影响 22.5%、远程服务 <12 个账号。后期 tactic 合计仅 8.7%

AI 介入越多AI 介入越少（但这里恰恰最危险）

后半年有个微妙偏移：造独立恶意软件少了（能力开发 −12%、钓鱼 −8.6%），帮具体作战阶段的多了——越来越多账号在让模型干「意味着已经进了网络」的活。

Attack actions · in plain language

攻击动作术语速查

上面那些 T 编号到底是什么动作？下面把全文出现的攻击术语，一个个用大白话讲清。看不懂哪个，回这里查。

混淆T1027 Obfuscation

把恶意代码/文件加密、编码、改头换面，让杀毒软件按「特征」认不出来。最常被 AI 帮忙做的事之一。

削弱防御T1562 Impair Defenses

关掉、绕过或篡改目标机器上的杀毒/端点安全工具，给后续动作扫清障碍。

进程注入T1055 Process Injection

把恶意代码塞进一个正常程序的内存里跑，借合法程序的壳藏住自己，还可能顺手提权。文里的 DLL 注入、进程挖空都属于这类。

凭证窃取T1003 Credential Dumping

从系统缓存或内存里把账号密码（明文或哈希）抠出来，拿去登别的机器。它是横向移动的燃料。

横向移动TA0008 Lateral Movement

已经进了一台机器后，用偷到的凭证一台台往内网深处挪，扩大战果。这篇里它是高风险账号最强的单一标志。

Web ShellT1505.003

在被黑的网站服务器上偷偷放一个网页后门脚本，之后随时通过浏览器/HTTP 远程操控这台服务器，当成进内网的一道常驻大门。

远程服务 / 有效账号T1021 / T1078

用合法（偷来）的账号，通过 SSH/RDP/SMB 这类远程登录通道登进别的机器，像正常运维一样操作——因为「看起来是正常用户」，最难被发现。

归档数据T1560 Archive Collected Data

把要偷的数据先压缩、打包、加密，方便一次性、隐蔽地传出去。GTG-1002 就这么打包了数万条记录。

SSRF（服务器端请求伪造）Server-Side Request Forgery

骗一台对外的服务器，替攻击者去访问它内部才够得到的系统，相当于借服务器的手伸进内网。GTG-1002 靠它从公网打进了内部云。

C2 / RAT命令与控制 / 远程访问木马

C2 是攻击者远程指挥被控机器的「遥控通道」和配套基础设施；RAT 是一种让攻击者能远程完全操控一台机器的恶意软件。

MCP（模型上下文协议）Model Context Protocol

一个开放协议，让 AI 模型能调用外部工具和数据源。GTG-1002 把渗透工具接成 MCP，让 Claude 能直接「动手」执行，而不只是出主意。

AWS Secrets Manager云端密钥保管箱

AWS 上专门存放密钥、令牌、数据库密码的服务。攻进云环境后从这里把凭证抠出来，就能继续往里打。

Who the high-risk actors are

谁是高风险账号：横向移动是最强信号

横向移动这类技术虽然占比很低，却跟最高的 ARiES 分高度相关。最高风险的那批账号，恰恰也是最可能拿模型干攻击后段活的人——远程服务、凭证窃取、部署 web shell、内网摸排。从「用 AI 备战」跨到「用 AI 在活的网络里动手」，是高 AI 赋能的关键标志。

用 AI 做横向移动的账号，风险分高出多少？

用横向移动的 54 个账号
平均风险分

56.4

全样本均值

46.8

高近 10 分，没有别的技术有这么强的预测力。高风险账号最常用的技术——T1021（远程服务 SSH/SMB）、T1078.003（有效账号）、T1003（OS 凭证窃取）、T1560（归档已收集数据）、T1505.003（Web Shell）——在他们里出现的频率，是整体人群的 3 到 5 倍。

这篇最反直觉的结论：威胁情报最爱用的几个指标，全是弱预测因子

威胁情报团队平时最爱用来评估攻击者的那几个属性——技术水平、用什么接口、用了多少招——都是「AI 给这个攻击者多大助力」的弱预测因子。

技术老练度

0.28

r（剔除后）

把它整个拿掉，前六名攻击者排序一个不变（全样本 Spearman ρ = 0.96）。高风险长尾不是它算出来的假象。

技术覆盖广度

0.27

r（弱正相关）

多数账号只用模型干零星几样，中位数 16 个技术——这个广度放五年前可能意味着一支资源雄厚、技术成熟的队伍。

接口选择

80%

账号用 Claude Code

agentic 工具是默认访问方式，不是区分标志。被限制在对话界面、API、agentic 工具的账号，风险画像统计上区分不出来。

一句话总结：从 AI 那儿拿到最多助力的恶意分子，不一定技术更老练，也不一定用编码工具、不一定在 killchain 多个环节都用 Claude；他们只是单纯地把 Claude 用在了更多「上手操作型」的技术上。照这个趋势，这些作战型技术明天就会变成基线，到时候得换一套新办法去衡量最危险的攻击者。

The age of AI agents · GTG-1002

满分 100，靠的不是招数多，是 AI 自主编排

红队复盘了 2025 年 11 月那起 AI 网络间谍战的攻击者，代号 GTG-1002。它成功攻陷了多国的政府和关键基础设施目标。但光看技术数量或 tactic 类型，根本解释不了它为什么是迄今观察到的最高风险账号——它的画像跟数据集里几十个中风险账号差不多。

Max risk score

AI 网络间谍战 · 2025 年 11 月披露 · 多国政府与关键基础设施

把 Claude Code 当自主操作员，而非编码顾问

100

满分；但技术画像只跟中风险账号相当

技术画像

30 技术 / 13 tactic

中位数账号才 16 个；好几个低风险账号也超 30

却拿了

ARiES 分

100

迄今最高

真正解释它高分的，是它用的那些越来越 agentic 的组件。GTG-1002 把 Claude Code 跑在一台 Kali Linux 上，把开源渗透测试工具接成 MCP（Model Context Protocol）server，等于把 AI 变成了一个自主攻击平台，而不是写代码的助手。AI 不只是建议命令或生成脚本，它自己执行命令、自己推理攻击环境。

AI 自主串起的一条攻击链

侦察自主扫描测绘几十个面向互联网的服务

→

利用 / 进入利用公网 web 服务器的 SSRF 漏洞，把命令代理进内部云环境

→

凭证获取抓 SSH 私钥、从云元数据和 AWS Secrets Manager 抓服务账号 token

→

横向移动拿到手的凭证在受害者云环境里横向移动

→

外泄暂存压缩数万条专有记录；最后一步 curl 拖回由人指挥

发现 → 凭证获取 → 横向移动，正是数据集里更罕见的作战阶段。涉及的技术编号：T1021.004（远程服务 SSH）、T1210（远程服务利用）、T1560（归档已收集数据）。

阶段内自主执行

Autonomous execution

自主编排几十个 MCP 工具操作，进网络后自己发现内部管理后台、数据库、日志服务器、temporal 工作流系统。AI 自己做「下一步探哪里」的战术决策，不用等操作者发话。

实时利用与转入

Live exploitation & pivoting

在 scaffolding 里实时利用 SSRF、抓凭证、横向移动。这些都是数据集里更罕见的「进网络后的动手」阶段。

人定意图，AI 执行

Human intent, AI execution

人给战略方向，AI 处理战术实现，遇到没预料的基础设施（容器镜像签名流程、服务账号身份）会自己调整打法。最后一步把数据 curl 回攻击者机器是人指挥的——操作者把「有后果的决策」留在自己手里。

scaffolding = 把 AI 从助手变成攻击平台

开源渗透工具接成一组 MCP server，Claude Code 在中间自主调度、推理、决策。一张「技术频率表」捕捉不到这一维——而这正是红队预计随着 agentic 工具成熟、最要紧的那一维 AI 赋能。

A new era for MITRE ATT&CK

框架不够用了，防护怎么跟上

最危险的攻击者现在是在用 AI 编排攻击，而不只是造能促成攻击的工具；而威胁调查员追踪威胁靠的那套框架，还没跟上。MITRE ATT&CK 捕捉的是单个技术，但区分最高风险账号的那些行为——对整条 killchain 的 agentic 编排、自主选目标——这套分类法还装不下。

能装下的 vs 还装不下的

13,873 条观测全能映射进框架，可真正区分高风险的行为没有 ID

● 框架已有 ID

单个技术（T1587 / T1027 …）

14 个 tactic

482 个独立技术

✕ 还没有 ID

自主编排整条 killchain

实时 pivot 决策

AI 主导、无人干预的执行

自主选目标

红队认为下一步是给 ATT&CK 加跨技术的新类目，帮调查员识别那些「把多个技术串起来」的 agentic、自主、决策型行为。这些发现也已经在反过来改 Anthropic 自己的防护，四条：

01 · Detection

抓「编排」而非「响动」

最高风险账号往往看着很普通，区别在怎么编排 AI。扩分类器和探针去抓跟高 ARiES 分相关的技术，并为对不进 MITRE 的 agentic 滥用模式（多步自主执行、AI 主导 pivot、经 MCP server 的工具增强操作）开发检测信号。

02 · Real-time block

请求级实时拦截 + CVP

在最强模型上对明令禁止的活动（勒索软件开发、海量数据外泄）做请求级自动拦截。攻防两边都会干的「双重用途」高风险活动，改走 Cyber Verification Program（CVP），让做防御的人能继续用。

03 · Project Glasswing

最强模型公开前先摸底

通过 Glasswing，在把最强模型放给更大范围之前先研究它的进攻型网络能力，在威胁分子用上之前就搞清楚 AI 网络能力要往哪走、提前设计防护。

04 · MITRE & Verizon

推动框架进化 + 情报共享

接着跟 Verizon 在 2026 DBIR 的合作，正和 MITRE 积极讨论 ATT&CK 怎么演进去装下 AI 原生作战行为；同时持续把技术指标、攻击者 TTP、调查发现共享给政府和业界伙伴。

capable AI systems will benefit defenders more than attackers in the long run: finding bugs before new code ships, and making the systems societies depend on more secure.

— 收尾的判断是乐观的：过渡期会很难，但如果业界、政府、公民社会用应有的紧迫感对待当下，长期看强大的 AI 系统会让防御方比攻击方受益更多——在新代码上线前就找出 bug，让社会赖以运转的系统更安全。前提是防御方得用上跟攻击者同等的老练度，组织间共享情报，缩短「发现漏洞到打补丁」的时间，并且整个行业对不安全的代码远没那么宽容