随着Anthropic详细披露首例由人工智能策划的网络间谍活动，安全领域的领导者们面临着一类新型的自主威胁。 在本周发布的一份报告中，该公司的威胁情报团队概述了他们对一个由他国政府支持的组织所实施的复杂行动的挫败——这一评估具有高度可信度——该行动被命名为GTG - 1002，于2025年9月中旬被发现。

此次行动的目标约有30个实体，包括大型科技公司、金融机构、化工制造企业和政府机构。 攻击者并非利用人工智能辅助人类操作员，而是成功操控了Anthropic的Claude Code模型，使其作为一个自主代理，独立执行绝大多数战术行动。 对于首席信息安全官（CISOs）而言，这是一个令人担忧的发展趋势，网络攻击模式正从由人类主导转变为人工智能代理承担80% - 90%的攻击工作，而人类仅作为高级监督者。

Anthropic认为，这是首个有记录的、在没有大量人类干预情况下实施的大规模网络攻击案例。 人工智能代理：网络攻击的新运作模式 该组织使用了一个编排系统，让Claude Code实例充当自主渗透测试代理。作为间谍活动的一部分，这些人工智能代理被指示进行侦察、发现漏洞、开发利用程序、获取凭证、在网络中横向移动以及窃取数据。这使得人工智能能够在一小部分人类黑客团队所需时间内完成侦察工作。

人类的参与仅占总工作量的10% - 20%，主要集中在行动发起阶段以及在几个关键的升级节点提供授权。例如，人类操作员会批准从侦察阶段过渡到主动利用漏洞阶段，或者批准最终的数据窃取范围。 攻击者绕过了人工智能模型内置的安全防护机制，这些机制旨在避免有害行为。他们通过破解模型、将攻击分解成看似无害的任务来欺骗模型，并采用“角色扮演”的角色。

操作员告诉Claude，它是一家合法网络安全公司的员工，正在进行防御性测试。这使得行动得以持续足够长的时间，从而成功访问了一些经过验证的目标。 此次攻击的技术复杂性并非体现在新型恶意软件上，而是在于编排。报告指出，该框架“极大程度上依赖开源渗透测试工具”。攻击者使用模型上下文协议（MCP）服务器作为人工智能与这些通用工具之间的接口，使人工智能能够执行命令、分析结果，并在多个目标和会话中维持操作状态。

甚至还指示人工智能为此次间谍活动研究并编写自己的利用程序代码。 人工智能幻觉带来的好处 尽管此次行动成功攻破了高价值目标，但Anthropic的调查发现了一个值得注意的局限性：人工智能在进攻行动中出现了幻觉。 报告称，Claude“经常夸大调查结果，偶尔还会编造数据”。具体表现为人工智能声称获取到的凭证无法使用，或者所识别出的发现“最终证明是公开可得的信息”。 这种倾向要求人类操作员仔细验证所有结果，这给攻击者的行动效率带来了挑战。

据Anthropic称，这“仍然是实现完全自主网络攻击的一个障碍”。对于安全领域的领导者而言，这凸显了人工智能驱动攻击的一个潜在弱点：它们可能会产生大量干扰信息和误报，而这些可以通过强大的监控手段识别出来。 针对新型网络间谍威胁的人工智能防御军备竞赛 对于企业和技术领导者来说，这主要意味着实施复杂网络攻击的门槛大幅降低。

资源较少的组织现在或许也能够开展以前需要一整支经验丰富的黑客团队才能完成的行动。 这次攻击展示了超越“氛围黑客”（vibe hacking）的能力，在“氛围黑客”模式下，人类仍牢牢掌控着行动。

GTG - 1002行动证明，人工智能可用于在实际行动中自主发现和利用漏洞。 Anthropic在为期十天的调查后封禁了相关账户并通知了当局。该公司认为，这一发展态势表明迫切需要人工智能驱动的防御措施。该公司表示，“正是那些使Claude能够被用于这些攻击的能力，也使其对网络防御至关重要”。

该公司自己的威胁情报团队“在此次调查中广泛使用Claude来分析所产生的海量数据”。 安全团队应该假定网络安全领域已经发生了重大变化。报告敦促防御者“在安全运营中心自动化（SOC automation）、威胁检测、漏洞评估和事件响应等领域尝试应用人工智能进行防御”。 人工智能驱动的攻击与人工智能支持的防御之间的较量已经开始，积极主动地适应并应对新型间谍威胁是唯一可行的前进道路。