IBM的X-Force部门最近放出了一则研究报告,把焦点放在了网络安全领域的一个趋势逆转上。按照他们的说法,今年网络攻击用了一种新招数——利用应用程序的漏洞。数据显示,这种攻击方式的增长幅度达到了44%,远远甩开了那种通过盗取账户密码进行攻击的增速。 之前大家常听的那句话——“攻击者根本不入侵云端,他们直接登录进去”——就是反映了那种通过钓鱼或者偷取凭据发起的攻击变多了。有了合法的登录权限,坏人就不用费力气去找那些值钱的“零日漏洞”,还能把自己伪装成日常的操作活动,走最省事的路子捞好处。 虽然现在滥用有效账号的情况依然占到了X-Force数据的近三分之一,但这份报告清楚地表明,利用漏洞发起的攻击正在重新变得流行起来。研究人员说,去年追踪到的这类事件中,漏洞利用占了40%的初始访问手段。 更要命的是,他们认为人工智能工具正在推波助澜,让攻击者更容易发现那些配置错了、没设防或者本来就有漏洞的应用。这事儿摆明了要逼着企业加强访问控制、管好补丁,还有部署安全实践。 IBM的网络安全服务管理合伙人马克·休斯就吐槽说:“那帮搞破坏的家伙没换新招数,只是用AI把执行速度给提上去了。核心问题没变,就是企业被软件漏洞压得喘不过气来。现在不一样的是速度快了好多。” 休斯补充道:“干安全这行的人得更主动点了,赶紧用上那种智能体驱动的威胁检测和响应系统来抓漏洞。” 虽然X-Force也承认像偷账号密码这种原始手段并没有变少——甚至还因为AI的问题变得更复杂了。比如报告提到的那个情况:2025年有超过30万个ChatGPT的凭据因为坏软件给泄露了。 这事儿说明那些热门的AI聊天机器人服务也面临着和企业软件差不多的风险。一旦被入侵了可就惨了,不仅能把个人账户给黑了,还可能被用来篡改输出结果、塞进去恶意的指令;最让人担心的是会让敏感数据泄露出去。 针对这个情况,X-Force建议安全领导们赶紧去查查自己公司怎么用AI的——特别是对那些公共服务的影子使用情况——还得赶紧制定更严的规矩。 除了这个问题之外,他们还发现了另一个现象:现在活跃的勒索软件团伙比去年多了49%。很多是那种规模不大、临时凑在一起的小团伙搞低容量的攻击活动,这搞得要想搞清楚是谁干的变得挺麻烦。 这部分原因也有AI的影子在里面——AI现在在帮着自动化勒索软件干活儿上起到了越来越重要的外围作用。 看未来的话,X-Force预测勒索软件团伙会把更多的活儿(像侦察、高级攻击)都扔给越来越成熟的AI模型去干。