回顾2025年最大的网络安全漏洞和入侵事件，我在思考：这些趋势会在新的一年里继续肆虐吗？还是说，随着威胁行为者试图在网络安全专家预测他们下一步行动时保持领先一步，2026年将充满新的意外？

据我接触的威胁情报和网络安全专家表示，可能两者兼而有之。毫不意外的是，人工智能在许多研究人员的威胁清单中名列前茅。

[为了撰写这份报告，我咨询了七个组织，它们都是我在2025年网络安全报道中的可信信息源。]

2025年AI的武器化似乎准备在2026年迎来进化转折点，使前几代恶意软件相比之下显得温和无害。

"在2026年及以后，威胁行为者对AI的使用预计将从例外情况决定性地转向常态，明显改变网络威胁格局，"谷歌Mandiant和威胁情报组织(GTIG)的安全负责人指出。"我们预计行为者将充分利用AI来提高行动的速度、范围和有效性，建立在2025年观察到的强有力证据和新颖用例基础上。这包括社会工程学、信息操作和恶意软件开发。"

"此外，"谷歌继续说道，"我们预计威胁行为者将越来越多地采用智能体系统，通过在攻击生命周期中自动化步骤来简化和扩大攻击规模。我们也可能开始看到安全研究中越来越多地讨论其他AI威胁，如提示注入和直接针对模型本身的攻击。"

NCC管理扩展检测和响应组的首席产品经理Floris Dankaart表示："2025年标志着首个大规模AI编排的网络间谍活动，其中Anthropic的Claude被用来渗透全球目标。很明显，用于此类活动的工具正在被开发（例如'Villager'）。这一趋势将在2026年继续，AI作为攻击武器的使用将伴随着AI作为防护盾牌使用的增加。"

AI启用的恶意软件崛起

2025年是AI启用恶意软件的关键一年，这类恶意软件因利用受害者对AI的使用或自身使用AI来进行恶意活动而备受关注。2025年11月，GTIG发布了对AI相关恶意软件观察的总结，指出"对手不再仅仅利用AI来提高生产力；他们正在主动操作中部署新颖的AI启用恶意软件。"

该报告继续确认了几种此类恶意软件的名称，包括Fruitshell、Promptflux、Promptlock和PromptSteal，最后一种已在野外被观察到使用大语言模型生成一行PowerShell命令，能够从基于Windows的计算机中查找和窃取敏感数据。

"在2026年，威胁行为者将越来越多地在主动操作中部署AI启用的恶意软件，"LastPass网络威胁情报分析师Stephanie Schneider指出。"这种AI可以生成脚本、更改代码以避免检测，并按需创建恶意功能。国家级行为者已使用AI驱动的恶意软件实时适应、更改和调整活动，随着技术继续发展，这些活动预计将得到改进。"

智能体AI的恶意使用

虽然AI启用的恶意软件令人严重担忧，但威胁行为者对智能体AI日益增长的依赖也值得重大关注。根据前述Anthropic的报告，Claude大语言模型开发商发现攻击者如何使用智能体AI执行网络攻击。

"我们高度确信，威胁行为者是一个中国国家赞助的组织，他们操纵我们的Claude Code工具试图渗透大约30个全球目标，并在少数情况下成功，"Anthropic报告的作者写道。"该行动针对大型科技公司、金融机构、化学制造公司和政府机构。我们相信这是首个有记录的在没有大量人为干预的情况下执行的大规模网络攻击。"

影子智能体的风险

也许与智能体AI相关的最大恐惧之一将是终端用户在部署自己的智能体时可能在没有IT监督的情况下无意中暴露敏感信息和资产的程度。

"到2026年，我们预计复杂AI智能体的激增将把影子AI问题升级为关键的'影子智能体'挑战。在组织中，员工将独立部署这些强大的、自主的智能体来处理工作任务，无论是否获得公司批准，"谷歌的网络安全专家写道。"这将为敏感数据创造不可见的、不受控制的管道，可能导致数据泄露、合规违规和知识产权盗窃。"

AI表面攻击面扩大

根据AppOmni AI总监Melissa Ruzzi的说法，将会有"来自用户的压力增加，他们期望AI智能体变得更加强大，组织承受尽可能快地开发和发布智能体到生产环境的压力。对于在SaaS环境中运行的AI智能体来说尤其如此，敏感数据可能已经存在，配置错误可能已经构成风险。"

"通过试图让AI尽可能强大，组织可能会错误配置设置，导致过度权限和数据暴露。他们也可能给一个AI授予太多权力，创造一个重大的单点故障，"AppOmni的Ruzzi写道。

提示注入攻击激增

同时，如果不是因为组织或影子IT采用大语言模型所创造的增量表面区域，AI启用的恶意软件可能不会成为可能。

"虽然AI承诺前所未有的增长，但它也引入了新的、复杂的风险。其中最关键的是提示注入，这是一种网络攻击，本质上操纵AI，使其绕过安全协议并遵循攻击者的隐藏命令，"谷歌的网络安全领导者写道。

AI浏览器安全风险

2026年也是AI与网页浏览器融合可能带来新防御挑战的一年。在新的市场进入者（如ChatGPT的Atlas）和现有条目的转变（如Chrome、Edge和Firefox转变为AI前端）之间，SquareX创始人Vivek Ramachandran认为它们的采用是既成事实。

"AI浏览器将成为默认选择，而不是小众类别，"他继续说。"它们将引入新的、异常强大的攻击面，因为它们将浏览与自主行动、敏感的企业环境与外部内容、以及智能体驱动的决策与执行能力相结合。"

AI增强的社会工程

威胁行为者仍然相对容易地进行以社会工程活动开始但以极其破坏性的凭证盗窃结束的攻击。然而，在2026年，几乎就像要将他们的社会工程策略提升到全新水平一样，威胁行为者预计将用AI增强他们的社会工程努力。

"在2026年，我们预计像ShinyHunters（又名UNC6240）这样的复杂威胁行为者将加速使用高度操纵性的AI启用社会工程，使其成为重大威胁，"谷歌网络安全领导者指出。

API发现和利用的AI化

虽然人类将始终是任何系统中最薄弱的环节，但应用程序编程接口(API)可能紧随其后——特别是未记录或非官方的接口。例如，tasklet.ai AI智能体创作和托管服务可以创建几乎任何类型的AI智能体（依赖几乎任何服务）。该能力令人惊讶地由一个更令人印象深刻的超能力支持——它能够自动发现和利用几乎任何API。

如果tasklet的创始人Andrew Lee能做到这一点，威胁行为者也能做到。在看到tasklet如何工作后，不难想象他们利用AI不仅发现你的可编程接口（无论你是否知道它们），还编写利用它们的代码。

勒索软件的演进

根据CyberSecurityVentures的研究，全球勒索软件损害总成本预计将增长30%，从2025年的570亿美元增至2026年的740亿美元。到2031年，该公司预计这些成本将上升至2760亿美元。

"作为一种勒索形式，勒索软件将继续演进并与AI交叉关联。预计早期的'智能体恶意软件'浪潮和AI增强的勒索软件活动，"NCC的Gibbons说。"勒索软件将转向在窃取、操纵和威胁泄露或更改敏感数据方面更大的动态性，针对备份、云服务和供应链。"

物理基础设施攻击

正如我们的整个IT基础设施中没有足够的表面区域需要照顾一样，当涉及到我们的建筑物以及物理和虚拟基础设施时，我们不能放松警惕，这显然是威胁行为者日益增长的兴趣领域。

"'内部威胁'的定义预计将扩展到恶意员工之外，包括利用远程访问硬件完全绕过端点安全的外部行为者，"Picus Security的Ozarslan告诉ZDNET。

北朝鲜IT工作者渗透

这一年还预计会看到北朝鲜(DPRK)特工持续的企业渗透模式。2025年12月，亚马逊首席安全官Stephen Schmidt在LinkedIn上发布了一篇文章，详细描述了这家在线零售巨头在北朝鲜IT工作者试图在该公司获得远程IT工作时的发现。

"在过去几年中，北朝鲜国民一直试图在全球公司，特别是美国公司获得远程IT工作。他们的目标通常很直接：被雇用，获得报酬，并将工资回流以资助该政权的武器项目，"Schmidt写道。"在亚马逊，自2024年4月以来，我们已经阻止了1800多名疑似DPRK特工加入，今年我们每季度检测到的DPRK相关申请增加了27%。"

民族国家威胁加剧

除了来自北朝鲜的威胁外，谷歌是唯一按国家组织其对抗性民族国家思考的网络安全组织。例如，俄罗斯预计将继续其通过选举干预破坏西方地缘政治稳定的活动。

"在2026年及以后，俄罗斯的网络行动预计将经历战略转变，从单一关注对乌克兰冲突的短期战术支持转向优先考虑长期全球战略目标，"谷歌的专家指出。

关于中国，谷歌的网络安全领导者进一步指出："我们预计中国相关的网络间谍策略、技术和程序将继续专注于最大化作战规模和成功率，一些威胁行为者还努力最小化被发现的机会。"

凭证和身份管理危机

大多数入侵的核心在于凭证或身份漏洞。因此，凭证管理不当将继续是组织面临的主要挑战——特别是当需要自己凭证的AI智能体开始在企业网络中蔓延时。

在2025年最大的与凭证管理不当相关的漏洞实际上是一系列漏洞，其中大多数都可追溯到Salesforce。表面上，看起来世界上一些最大的组织，包括科技公司、航空公司和奢侈品牌，是被黑客攻击的对象。但通常情况下，这些漏洞实际上与一系列旨在窃取Salesforce为他们托管的客户数据的复杂攻击有关。

网络安全领导者的新角色

十年后，网络安全专业人士可能会回顾2026年，将其视为防御者的转折点。正如NCC的Brauchler所说："这是一个令人兴奋的技术时代，但AI的威胁格局看起来在好转之前会变得更糟。"

"2026年将被铭记为安全行业使问责制不可谈判的一年。CISO的角色将演变为业务风险领导者，"Cannon写道。"随着勒索软件和大规模漏洞继续升级，网络安全将在企业风险登记册上攀升得更高。这种转变将要求清晰度、与业务对齐的沟通，以及投资转化为韧性的证明。"

Q&A

Q1：什么是AI启用的恶意软件？它有什么危险性？

A：AI启用的恶意软件是一种利用人工智能技术来进行恶意活动的新型恶意软件。它能够动态生成脚本、实时更改代码以避免检测、按需创建恶意功能，甚至能够自主适应防御措施。这种恶意软件最危险的地方在于它能以机器速度自主适应对策和人类存在，使人类防御者处于显著的速度和规模劣势。

Q2：智能体AI如何被威胁行为者恶意利用？

A：威胁行为者利用智能体AI来自动化网络攻击的各个环节，包括侦察、钓鱼、横向移动和恶意软件开发。Anthropic发现了首个有记录的大规模网络攻击案例，中国国家赞助组织操纵Claude工具渗透约30个全球目标。智能体AI使攻击者能够在没有大量人为干预的情况下执行复杂的网络攻击，大大提高了攻击的自动化程度和效率。

Q3：2026年勒索软件攻击会有什么新变化？