安全威胁
安全威胁回答“系统怎么被突破”。 这部分内容保留敌人视角:攻击者如何选择目标、寻找入口、构造利用链、扩大权限、触达数据、变现收益,并在过程中隐藏身份和规避追踪。
威胁研究的价值在于校准防御假设。 安全体系如果缺少真实攻击理解,就容易把资源投入到低风险控制点上;持续研究历史事件、漏洞利用、业务滥用和新型 AI 攻击,才能知道哪些路径最值得优先防。
不知攻,焉知防。只有以攻击者视角出发,持续研究网络攻击技术的细节,才能够设计出更好的网络安全防护体系。
我们到底会面对哪些威胁?
攻击技术用于回答攻击者如何把入口变成影响。 漏洞、社工、DDoS、APT、供应链、业务滥用和 AI 攻击都应围绕攻击链理解:入口在哪里,权限如何扩大,数据如何触达,收益如何变现,痕迹如何隐藏。
所有安全威胁,本质上都是让系统偏离预期执行。 SQL 注入让数据库执行了开发者不希望执行的查询,越权让系统在错误身份下返回了敏感数据,供应链攻击让可信依赖承载了攻击者意图,Prompt Injection 让模型把外部数据误认为指令,Agent 攻击让智能体在错误上下文下调用工具并执行危险动作。
因此,安全威胁不应该只按漏洞名称理解,而应按“系统如何一步步失守”理解。攻击者通常会完成五件事:
- 获取影响系统的入口
- 让系统偏离预期执行
- 扩大控制范围
- 获得数据、资金、权限、影响力等收益
- 隐藏行为并规避追踪
攻击链模型
攻击链用于描述一次攻击如何从单点入口演变成真实损失。 单个漏洞通常不是最终风险,真正的风险来自漏洞、权限、网络、数据、业务流程和组织响应之间的组合。
典型攻击链可以抽象为:
目标识别
→ 入口获取
→ 初始执行
→ 权限扩大
→ 横向移动
→ 数据触达
→ 数据外传
→ 收益变现
→ 痕迹清理
这个链路的价值在于:防御方不只看“有没有漏洞”,而要看攻击者是否能把漏洞继续推进成影响。一个低危漏洞如果能进入高权限内网,风险可能很高;一个高危漏洞如果被强隔离、无敏感权限、无出网能力,实际爆炸半径可能有限。
AI Agent 时代会出现新的执行链。 传统攻击链主要围绕代码执行、权限扩大和数据触达;Agent 攻击链则围绕上下文、推理、工具和权限展开:
外部内容污染
→ Prompt Injection
→ Agent 读取网页 / 邮件 / 文档 / RAG 知识
→ 推理链被污染
→ 错误规划任务
→ 调用高权限 Tool
→ 数据外泄 / 代码提交 / 配置修改 / 交易执行
→ 多 Agent 或自动化流程扩散
这意味着 AI 时代的攻击会从“输入漏洞”扩展到“执行漏洞”:攻击者不一定需要拿到 Shell,只要能污染 Agent 的上下文判断,就可能间接操控它的工具调用和业务动作。
不同等级的攻击者
攻击者分类:
- 非针对性攻击扫描探测
- 白帽子/业余安全爱好者/薅羊毛脚本小子
- 资深安全专家
- 专业团伙/黑灰产组织
- 国际头部黑客组织/竞对
- 国家安全组织
- AI 增强攻击者
AI 正在降低高级攻击能力门槛。 过去,高质量漏洞挖掘、钓鱼内容生成、木马开发、逆向分析、情报收集和攻击链组合依赖长期经验。AI Agent、代码模型、浏览器自动化和漏洞挖掘模型出现后,普通攻击者可以借助模型完成信息收集、脚本编写、Payload 变形、N-day 分析、批量试错和报告生成。
这会改变攻击者结构:过去是少量高能力攻击者主导高级攻击,未来会出现大量“中等能力 + AI 工具”的攻击者。防御方不能只按传统攻击者能力评估风险,而要假设低成本自动化试错会持续增加。
关键原则:
- 所有攻击者都能攻击你,但你需要防所有攻击者
- 网络攻击天然的身份隐蔽性,导致难以杜绝,只能停留在网络层面的对抗
- AI 会放大攻击者的试错能力、组合能力和自动化能力
攻击者隐蔽技术
全套虚假身份:伪造或暗网购买身份证件、地址信息、实人照片、手机号码、银行卡信息、网络社交账号等。
难以被溯源的攻击环境:
- 系统外文设置与时区配置
- 用户名、密码、文件符合外文特征
- 干净系统环境,无私人账号使用痕迹
- 虚拟机带开机还原或镜像功能
- 独立网络(4G)
- 多级网络跳板(系统代理+TOR)
- 代理工具购买所有环境
聪明的攻击策略:
- 浑水摸鱼:公布漏洞引入大量利用者
- 大量IP代理池访问
- 栽赃嫁祸:露马脚引入国外黑客身份
- 销毁痕迹
各类型攻击目的和方式
不同的攻击目的
- 为了钱:黑灰产、黑客
- 为了名:白帽子
- 为了赢:竞争对手/敌对资助组织
- 为了影响力:舆论操控、政治攻击、社会工程、深度伪造
攻击不是单纯的技术行为,而是利益驱动的商业系统。 黑灰产会围绕投入产出比选择攻击路径:哪里成本最低、回报最高、追责最难,就会优先攻击哪里。因此,攻击者不会遵守企业内部的安全分工,也不会只攻击“技术漏洞”。他们会把漏洞、社工、欺诈、爬虫、DDoS、供应链、AI 自动化和业务规则缺陷组合起来,形成最短变现路径。
AI 会进一步放大这种商业化攻击能力:钓鱼内容可以自动生成,攻击脚本可以自动改写,社工话术可以千人千面,漏洞线索可以批量分析,攻击路径可以自动试错。未来的威胁不是“更多黑客”,而是“攻击工业化的边际成本继续下降”。
不同的攻击目标和方式
攻击目标:
- 互联网服务/Web Server/应用/框架/组件
- 办公网的电子邮件/聊天工具/浏览器/操作系统
- 生产网、专网
- AI 模型、RAG 知识库、Agent Runtime、MCP Server、工具调用链
攻击方式:基础漏洞、业务风险、APT攻击、供应链攻击、0day攻击、N-day攻击、Prompt Injection、数据投毒、模型后门、Agent工具劫持。
关键洞察:
- 攻击只需要突破一个点,防御需要防全局
- 攻击者并不会遵守安全分工,都是围绕利益最大化去做
- 企业内部往往有各种安全团队和协作分工问题
- 技术迭代更新让安全威胁也在不断变化
- AI 让攻击者从“手工利用漏洞”升级为“自动组合攻击链”
技术演变与威胁变化
早期IT时代:
- 攻击手段:SQL注入、任意文件上传木马、后门木马
- 防御手段:防火墙、杀毒软件、边界防护
互联网时代:
- 边界主要:80/443端口
- 核心:应用逻辑
- 攻击方式:业务逻辑风险
- 影响因素:远程办公、BYOD、云计算、边缘计算、IoT设备
- 防御手段:WAF、RASP
AI时代:
- 应用形态从“人操作系统”变成“Agent 操作系统”
- 攻击对象从代码、接口和权限扩展到上下文、记忆、推理链和工具调用
- 攻击方式从输入漏洞扩展到认知控制和执行链劫持
- 防御重点从拦截恶意请求扩展到约束智能行为
AI 安全和传统安全的根本区别在于:传统安全主要保护确定性系统,AI 安全开始保护概率性认知系统。传统安全默认“输入不可信”,AI 安全需要进一步默认“推理不可信”。传统安全关注系统是否被非法控制,AI 安全关注智能系统是否产生危险行为。
AI Agent 的核心攻击面
AI Agent 的风险来自“能理解、能规划、能调用工具、能执行动作”。模型本身说错话通常只是内容风险;Agent 做错事则可能直接变成生产风险、数据风险、资金风险和合规风险。
| 攻击面 | 攻击方式 | 典型影响 |
|---|---|---|
| Prompt / Context | 通过网页、邮件、PDF、Markdown、代码注释注入恶意指令 | 劫持模型上下文判断 |
| RAG / Knowledge | 污染知识库、Chunk、Embedding、召回结果 | 让模型基于错误知识行动 |
| Memory | 写入恶意长期记忆或用户偏好 | 长期改变 Agent 行为 |
| Tool | 诱导 Agent 调用 Shell、GitHub、Jira、Email、支付接口 | 执行危险动作 |
| Permission | 继承用户高权限或使用过宽 Token | 放大攻击爆炸半径 |
| Planning | 诱导错误任务拆解和步骤规划 | 让 Agent 主动扩大行为范围 |
| Multi-Agent | 污染一个 Agent 后传递给其他 Agent 或 Workflow | 信任链扩散 |
| Output / Action | 输出被下游系统直接执行 | 从内容风险变成真实动作风险 |
这类风险的核心不是“模型有没有漏洞”,而是“智能体是否在错误上下文下获得了执行能力”。因此,Agent 安全必须围绕最小权限、上下文隔离、工具白名单、任务级授权、人工确认、完整审计和可追溯执行链建设。
不同行业的威胁差异
| 行业 | 主要威胁 |
|---|---|
| 金融 | 金融风控 |
| 云 | 基础设施安全 |
| 电商 | 反作弊、欺诈、商品合规、爬虫、用户隐私 |
| 游戏 | 稳定性/DDoS、游戏外挂 |
| 票务 | 黄牛 |
| 医疗 | 个人信息保护 |
| 政府 | 数据篡改 |
| 线下 | 食品安全 |
| 文字图片/音视频 | 内容安全 |
| 国民应用 | 个人隐私采集与保护 |
规模化收益型威胁
最常见、最危险的威胁往往不是技术最复杂的攻击,而是最容易形成规模化收益的攻击。 黑灰产、竞争对手和 AI 增强攻击者最在意投入产出比,他们会优先选择看起来合法、成本低、可规模化、可持续迭代的路径。身份与权限失控、暴露面管理失控、业务规则套利、供应链污染、资源耗尽和数据泄漏,往往比“高技术攻击”更常见,也更容易在真实业务里造成持续损失。
这类威胁的共同点,是把系统当成一台可套利机器。 黑灰产盯住补贴、账号、资金和流量;竞争对手盯住成本、效率、数据和信任;AI 平台额外面对模型能力、工具调用和上下文污染。行业越接近钱、流量、身份和自动化执行,越容易成为规模化收益型攻击的靶子。
| 场景 | 典型风险 |
|---|---|
| 黑灰产高发业务 | 账号批量注册、盗号、薅羊毛、退款套利、洗钱、风控对抗 |
| 竞争对手高发业务 | 数据爬取、成本消耗、舆论攻击、风控污染、服务降级压测 |
| AI 平台 | Prompt Injection、Agent 越权、RAG 污染、Tool Abuse、模型与供应链安全 |
| 高交互产品 | 规则套利、自动化试错、资源耗尽、异常规模化使用 |
低成本高收益攻击
真正难防的威胁,通常是攻击成本很低,但防守成本极高的那一类。 攻击者只要用脚本、代理、AI 和少量人工协同,就能持续试错、不断变形、批量放大;防守方则要同时承担风控、误杀、体验、扩容、审计和响应成本。
这类攻击的难点不在“技术有多高”,而在“看起来像正常行为”。 账号注册、登录、退款、搜索、爬取、调用 AI、导出数据、客服协同、社工沟通,表面上都可能是合法动作;一旦规模被异常放大,就会从业务行为变成攻击行为。
这类威胁的判断标准,应从漏洞优先转向经济性优先。 只要一个攻击路径具备低门槛、可复制、可持续、难封死、误杀代价高这几个特征,它就值得被优先治理,而不是等到出现高技术 exploit 才开始处理。
| 典型场景 | 防守难点 |
|---|---|
| 账号体系攻击 | 攻击行为像真人,误杀会影响真实用户 |
| 业务逻辑套利 | 合法规则被规模化使用,边界很难一刀切 |
| 低频慢速爬虫 | 访问节奏正常,难以和真实用户区分 |
| CC / 资源耗尽 | 不需要突破,只要持续消耗即可 |
| AI Prompt Injection | 只需影响认知和上下文,不必攻破系统 |
| 内部人 / 灰产协同 | 行为路径合法,只能靠模式和规模识别 |
| AI 社工 | 人类与模型都可能被话术和伪装影响 |
| 正常行为的异常规模化 | 单次行为正常,放大后变成攻击 |
内容边界
| 主题 | 回答的问题 | 已沉淀内容 |
|---|---|---|
| 历史攻击事件 | 真实世界曾经怎么失败 | 历史攻击事件、历史真实发生的网络安全事件、全球网站数据泄漏列表 |
| 漏洞与利用链 | 漏洞如何变成可利用路径 | 攻击技术、Log4Shell、SSRF、Flask 常见利用点 |
| 身份与权限攻击 | 攻击者如何窃取身份和绕过授权 | 登录账号密码劫持、硬编码密钥、中间人劫持风险 |
| 供应链与协作风险 | 信任链路如何被反向利用 | GitHub Pull Request 业务逻辑风险、某云平台 GitHub 信息泄漏导致 GET SHELL |
| 业务与平台滥用 | 攻击如何绕开技术边界变成经营风险 | 洗钱、攻击技术中的业务安全风险 |
| 终端、通信与物理侧信道 | 非 Web 入口如何被突破 | 短信嗅探实践、手机 SIM 卡复制、侧信道安全、IoT Security |
| AI 与 Agent 攻击 | 模型、工具和执行链路如何被操控 | AI 与安全 |
组织方式
历史事件用于建立威胁直觉。 真实事件能说明攻击者最终追求什么、企业为什么失守、组织在事前和事后有哪些薄弱点。
攻击技术用于理解可复用方法。 漏洞、利用链、越权、供应链、社工、DDoS、APT、Prompt Injection、数据投毒和 MCP 攻击都应被放在同一个敌人视角下理解:它们都是让系统偏离预期执行的路径。
攻击链用于连接单点技术和真实损失。 只有把入口、执行、提权、横移、数据、变现和隐蔽串起来,才能判断一个威胁的真实优先级。
AI 时代的攻击会从“输入漏洞”扩展到“执行漏洞”。 Agent、工具调用、上下文注入、数据污染、长期记忆和多 Agent 协作会把攻击面从应用入口延伸到决策、权限、工具和记忆系统,后续内容会围绕这条执行链路继续沉淀。