全球領先的網絡準備及應對公司賽格尼亞,今日公布其調查的初步結果。這次調查針對一宗活躍的網絡攻擊,當中單一威脅行為者利用人工智能作為倍增器,勒索一間全球企業的財物。調查發現攻擊者開發的腳本、高度並行活動,以及雲端服務中快速、針對特定環境的適應跡象。這些特徵均符合代理式人工智能輔助工作流程,旨在以超出單一操作員通常預期的速度和規模執行攻擊。
該威脅行為者並非依賴新型惡意軟件或零日漏洞攻擊,而是利用人工智能以遠超受害者應對能力的速度,在廣泛攻擊面上執行多種眾所周知的雲端攻擊技術。這次入侵在AWS環境中進行,並非利用單一配置錯誤,而是串聯了應用程式服務、AWS資源、原始碼儲存庫、CI/CD管道、運行時組件和數據儲存中的弱點。同時,該威脅行為者迅速進行憑證發現、秘密收集、雲端枚舉、部署管道濫用、運行時修改、數據庫存取及營運中斷。
賽格尼亞調查發現人工智能加速攻擊,單一威脅行為者迅速攻陷企業雲端環境 AP圖片
賽格尼亞事件響應副總裁艾維·達揚表示:「源於洩露秘密和弱身份控制的雲端入侵並非新鮮事。這次調查的突出之處在於攻擊者在獲得初始存取權後移動的速度,以及在極短時間內執行的大量惡意活動。通常需要數周才能完成的攻擊,這次在72小時內全部發生。這次事件突顯了防禦者面臨日益嚴峻的挑戰:隨著大型語言模型和代理式人工智能變得更易存取,它們有潛力降低入門門檻,加速攻擊工作流程,並使複雜程度較低或資源受限的威脅行為者能夠以前所未有的速度和規模運作。」
這次人工智能輔助入侵並非遵循傳統的循序漸進攻擊路徑,而是同時在多個方面展開。當發現新機會時,該威脅行為者似乎並行執行了多種標準的攻陷後技術,將通常需要數分鐘或數小時的過程壓縮至數秒。例如,在觀察到的一秒內,該威脅行為者利用了屬於四個不同帳戶的四個不同存取金鑰,全部來自相同的來源IP地址和用戶代理。這種活動符合自動化、集中協調及潛在由人工智能代理驅動的執行。
此外,每個新獲得的存取金鑰都被迅速利用來枚舉相關權限和可存取資源,使該威脅行為者能夠有效識別橫向移動和數據存取的最高價值機會。在數據層面,調查揭示了數百個獨特的SQL查詢在數十個數據庫中執行,快速枚舉架構並識別相關數據。在應用程式層面也觀察到類似行為,該威脅行為者映射了SQS佇列、易受攻擊的工作者、有效負載注入點以及用於管理集群的部署相關文件之間的關係。這些行為共同展示了快速、針對特定環境的適應能力,這與人工智能輔助或集中協調的活動一致,能夠以超出人類操作員通常預期的速度處理上下文並調整行動。
這次攻擊突顯了人工智能如何放大現有安全漏洞的影響,暴露了企業準備度、可見性及營運成熟度方面的不足。這些發現印證了賽格尼亞的2026年首席信息安全官調查,該調查發現600名受訪高級資訊科技安全決策者中,有73%不相信他們的組織已完全準備好應對明日可能發生的嚴重網絡攻擊。
如欲了解更多初步調查結果,請閱讀賽格尼亞的完整威脅報告。然後,請加入首席調查員埃爾達·戈倫和謝爾蓋·科濟列夫,參加即將於美國東岸時間7月15日上午10時舉行的網絡研討會「人工智能輔助雲端攻擊內幕:熟悉技術以不尋常速度進行」,他們將在會上剖析調查,解釋人工智能如何加速攻擊生命週期,並討論安全團隊可如何為這次新興威脅做好準備。
(美聯社)