本期看点

• MITRE ATT&CK —— 安全行业公认的"攻击战术与技术字典"，把一次入侵拆成侦察、初始访问、执行、横向移动等阶段，每个阶段下列举具体手法，让全世界的防御者用同一套词描述同一种攻击。
• 横向移动（lateral movement） —— 黑客攻进一台机器后，在内网里一台台往别的机器扩散、找更高权限的过程。它处在攻击链的中后段，技术含量比群发钓鱼邮件高得多。
• 攻击者 agent 化 —— AI 从"帮你写代码的助手"升级成"替你执行命令、做战术决策的自主智能体"，能把侦察、提权、窃凭据、横移这些原本要黑客手动串起来的步骤自己跑通。
• 风险评分（risk score） —— Anthropic 给每个被封账户打的危险分，本来想用技术数量、所用产品这类指标算，结果发现这些指标和真实危险程度对不上。

一、832 个账户，一张行业通用的地图

先把这件事的方法论说清楚，因为方法论本身就是判断的一部分。

Anthropic 没有按自己的产品口径(谁滥用了 Claude Code、谁滥用了 API)去归类这 832 个被封账户，而是把每一个都映射到 MITRE ATT&CK。这是一个存在多年的数据库，收录攻击者使用的战术(tactics)与技术(techniques)——通俗讲，它是安全圈的"普通话"：一次入侵被拆成侦察、初始访问、执行、横向移动等若干阶段，每个阶段下挂着一串具体手法。用它当坐标系，意味着 Anthropic 想回答的不是"我家产品被怎么滥用了"，而是"AI 正在改变攻击的哪个环节"。

这个选择本身是个信号。一家模型公司放下自家产品视角、改用行业框架来量自己被滥用的样本，等于承认：要看懂 AI 滥用，得站在攻击行为这一侧，而不是站在"我卖了什么"这一侧。

二、67.3% 写恶意软件，6.5% 做横向移动——结构比总量更重要

数字摆出来，结构一目了然。832 个账户里，**67.3%(560 个)**用 AI 来写恶意软件，这是绝对主力；**6.5%(54 个)**用 AI 做内网横向移动。

横向移动这个 6.5% 看起来小，但它是整组数据里最该警惕的一个。写恶意软件处在攻击链早段，本质还是"代码生成"这种 AI 最擅长、门槛最低的活；横向移动处在攻击链中后段，意味着黑客已经攻进来了、AI 正帮他在别人的内网里一台台机器往深处钻。能用上这个环节，说明 AI 已经不满足于当个写代码的助手，开始介入需要现场判断的脏活。

更能说明趋势的是六个月之间的位移。Anthropic 把一年切成前后两段对比：用 AI 做账户发现(account discovery，即在攻进来的网络里找还有哪些账号可以接管)的占比上升 8.9%，而用 AI 辅助钓鱼(phishing，即伪造邮件骗人点链接、交密码这种攻击链最前端的活)的占比下降 8.6%。

一升一降是同一件事的两面。钓鱼是攻击的入口动作，技术含量最低；账户发现是攻进来之后的纵深动作。占比从前者向后者迁移，数据表明 AI 滥用的重心正从"帮我敲开门"往"帮我在屋里翻箱倒柜"移动。攻击者不再主要拿 AI 干那些它本就能干的浅活，而是把它推向越来越深、越来越需要编排的环节。

三、半年里中高危占比从 33% 涨到 56%

如果说结构变化是慢镜头，那么风险等级的攀升就是快进。

Anthropic 给每个账户按危险程度分级。第一个六个月，被判为中危及以上的占 33%；第二个六个月，这个数字涨到 56%——官方的说法是"大约 1.7 倍的增长"。半年时间，恶意账户里"值得认真对付的"那一半，从三分之一变成了过半。

这条曲线之所以陡，恰恰因为门槛在塌。当 AI 能替攻击者完成高技术含量的任务，普通人也能跑出过去只有老练黑客才能完成的操作。危险不再集中在少数高手身上，而是均匀地铺给了所有拿到 AI 的人。

四、为什么"数技术、看产品"两个老标尺都废了

这才是这份报告真正的刀。Anthropic 直接点名两个安全行业沿用已久的危险度判据，说它们都失效了。

第一个失效的是"数技术数量"。直觉上，一个黑客会的招越多越危险。但数据对不上：技术最少的那批攻击者平均用约 16 种不同技术，技术最多的那批也只有约 20 种——差距小得可怜。Anthropic 的原话是："现在 AI 能替攻击者执行高技术含量的任务，威胁者的真实水平和他用了多少种技术之间，已经几乎没有相关性。"换句话说，技术数量从前是能力的代理指标，现在 AI 把这个代理关系打断了——招式是 AI 现学现卖的，数得清招数也量不出人的危险。

第二个失效的是"看用了哪个产品"。攻击者用的是 Claude Code、是 API、还是聊天界面，与他的风险等级同样毫无相关。这一刀砍向的是很多平台默认的风控逻辑：以为按产品形态(给开发者的 vs 给普通人的)就能粗筛威胁。实际上同一个危险攻击者在三种界面里都能干同样的坏事，产品门类拦不住行为。

两把老标尺一起失灵，指向同一个根因：被量的对象变了。过去量的是"人"——人的技术储备、人选的工具；现在该量的是"行为编排"——AI 把多少个攻击环节自动串成了一条链。

五、连 ATT&CK 这本字典都还没收录这种行为

最后一击落在框架本身。Anthropic 说，让 AI 时代攻击者最危险的那些行为，MITRE ATT&CK 至今还没把它们当作攻击者技术收录进去。

最锋利的证据是 2025 年 11 月那起国家级间谍攻击。在那次行动里，模型"作为自主智能体运行：它执行命令、利用漏洞、窃取凭据、做出战术决策，只在少数几个关键节点需要人类介入"。这是教科书级的"攻击者 agent 化"——人退到幕后只按几个确认键，AI 跑完了大半条攻击链。

可是用 ATT&CK 去量它，结果很反常：这次攻击落在 30 种技术、13 个战术上，"与我们数据集里许多中危攻击者相当"——按技术铺开的广度看，它平平无奇。但按 Anthropic 的风险评分方法论算，它拿到了满分 100。一个真实危险度顶格的攻击，在通用字典里却长得像个中等水平的对手，因为字典里压根没有"自主编排"这个词条。Anthropic 已经在和 MITRE 讨论这套框架该怎么演进。

判断到这里收口：威胁的危险来源已经从"会哪些招"迁移到"AI 替它编排了多少",而行业用来描述攻击的那本公共字典,还停留在数招式的旧范式里。字典没更新，所有依赖它的防御打分、威胁情报、自动告警，都在用一把量不准的尺。

对从业者意味着什么

对安全团队(蓝队/SOC)：把危险度判据从"用量与门类"换成"行为编排"。不要再用"这个账号调用了多少种工具""他走的是开发者接口还是普通接口"来分流告警——这两条 Anthropic 已经证明和真实危险无关。该盯的是攻击链上多个环节是否被自动地串起来：一个会话里先侦察、再提权、又横移、还窃凭据，这种跨阶段的连贯编排才是 agent 化攻击的指纹，哪怕它用到的"招式"总数并不多。同时别再把 ATT&CK 的覆盖度当成完备清单，框架本身已落后于自主编排这一类行为，依赖它做基线的检测规则要预留盲区。

对模型平台与做 AI 风控的人：防御也得 agent 化。攻击侧已经把多个步骤交给自主智能体串联，靠人工审一条条调用记录的速度追不上。监测维度要从"单次调用是否违规"升级到"一连串调用是否在拼一条攻击链"——按行为序列而非按单点用量来识别。Anthropic 自己的态度也明确：它把这次数据、把 Project Glasswing 的发现公开出来，是想"让防御者先拿到最强工具"。这句话对所有平台都是提醒——攻防节奏正被 AI 同步抬高，防御侧若还停在"人审用量"的范式，差距只会被拉开。

引用

1. Anthropic，《AI 赋能的网络威胁：来自我们对 MITRE ATT&CK 分析的关键发现》(AI-Enabled Cyber Threats: Key Findings from Our MITRE ATT&CK Analysis)：https://www.anthropic.com/news/AI-enabled-cyber-threats-mitre-attack