Anthropic 的報告聞起來像狗屁

11月中旬，AI公司Anthropic發布了一份聽起來很嚇人的報告（《阻斷首個AI編排的網絡間諜活動》）：他們聲稱抓到了一個黑客組織，利用Claude AI工具對全球30家企業發動了自動化攻擊。更勁爆的是，報告說這些攻擊有80-90%是AI自主完成的，幾乎不需要人工干預。

《華爾街日報》和《紐約時報》很快跟進報道，渲染"AI黑客時代"的到來。但在網絡安全圈，反應卻截然不同。

一位安全行業的專業人士djnn.sh發表了一篇博文《Anthropic的報告聞起來就像狗屁》（Anthropic’s paper smells like bullshit），迅速成為HackerNews上的熱門討論帖。他用行業標準逐條拆解了這份報告，揭示出一個尷尬的事實：這更像是一場精心策劃的營銷活動，而不是一份嚴肅的技術報告。

一份"空心"的威脅報告

djnn開門見山地指出，在網絡安全行業，威脅情報報告有一套嚴格的規范。簡單說，就是要給出"證據"——讓其他安全團隊能夠根據你的報告，在自己的網絡里查找攻擊痕跡，判斷是否也遭到了類似攻擊。

一份合格的報告應該包含什么？

• IOCs（威脅指標）：攻擊者使用的域名、IP地址、惡意文件的哈希值

• 具體工具：用了什么黑客工具？什么版本？

• 攻擊手法：怎么入侵的？利用了哪些漏洞？

• 時間線：什么時候發現的？攻擊持續了多久？

• 防御建議：如何檢測和防范類似攻擊？

djnn舉了個例子：法國CERT（計算機應急響應小組）發布的APT28報告，詳細列出了釣魚郵件地址、源IP、使用的VPN工具，甚至攻擊的具體時間節點。任何一個安全團隊拿到這份報告，都能立刻去查自己的日志，看看有沒有中招。這是威脅情報共享的行業標準。

那Anthropic的報告呢？

djnn翻遍了整份文檔，發現：一個IOC都沒有。

沒有域名，沒有IP地址，沒有文件哈希，什么實質性的技術信息都沒有。報告里充斥著"高度復雜"、"專業協調"這樣的形容詞，但就是不告訴你具體是什么。

比如報告說：“Claude在目標網絡中執行系統化的憑證收集，涉及查詢內部服務、提取身份驗證證書。”

聽起來很厲害。但djnn的質疑很直接： 怎么做的？ 用的是Mimikatz這種憑證竊取工具嗎？攻擊的是云環境還是本地網絡？什么系統受影響了？

報告對這些關鍵問題統統不提。

還有那個著名的"80-90%自動化"——這個數字怎么算出來的？什么叫"自動化"？是AI寫了自動化腳本，還是AI真的在做決策？報告沒說。

更尷尬的是，Anthropic還悄悄改了一處描述。最初他們說攻擊達到了"每秒數千次請求"，后來這句話被改成了"數千次請求，通常每秒多次"——意思完全不一樣了。

djnn特別指出了報告中一句模糊的表述：“我們通知了相關當局和行業合作伙伴，并在適當的情況下與受影響的實體分享了信息。”

他的反問很有力：“這到底是什么意思？你們聲稱在多個服務中發現了可利用的漏洞，這些漏洞修補了嗎？被竊取的數據呢？受影響的用戶呢？你們關心這些問題嗎？”

HackerNews：專業人士的吐槽大會

當這份報告被發到HackerNews上，技術社區炸了鍋。一群真正懂行的人開始逐條拆解這份報告。

“我們也用過AI做安全測試，沒那么神”

一位自稱在大型科技公司工作過的工程師說：“我們當時被要求用一個專門優化過的AI模型來做滲透測試，目標是個模擬打印機和Linux服務器。說實話，AI確實有點用，但也就那樣。特別是在復雜的攻擊協調上，根本看不出能有多大作用。”

他還提出了一個實際問題：“Claude的API要綁信用卡付費的，黑客用這種公開系統來搞命令控制，不怕被追蹤嗎？”

另一位正在創業做自動化滲透測試工具的人則更樂觀：“現在的AI模型確實比以前強多了。我們從Llama 3.1用到Claude 4.5，進步很明顯。有一次我們的beta測試者在一個500個IP的Active Directory網絡里測試，AI一小時就拿到了域管理員權限。”

但他也承認關鍵問題：“ AI最大的毛病是愛吹牛。 它會說自己拿到了某些憑證，結果根本用不了；或者聲稱發現了機密信息，其實只是公開資料。這個問題到現在都沒解決。”

“自動化攻擊不是新鮮事”

好幾個老安全人指出，報告宣稱的"首次大規模自動化攻擊"根本站不住腳。

"90年代的腳本小子就在搞自動化攻擊了。Metasploit這種自動化滲透測試框架都存在二十多年了。"有人說，“報告里描述的那些東西——網絡掃描、漏洞利用、憑證竊取——全都有現成的開源工具。哪一步是只有AI才能做的？一個都沒有。”

網絡安全研究員Kevin Beaumont更直接：“這份報告完全沒有IOCs，強烈暗示他們不想在技術細節上被人質疑。這就是用一堆開源攻擊工具拼湊出來的東西。”

“為什么AI給黑客的答復率這么高？”

還有一個有趣的吐槽來自安全公司Phobos Group的創始人Dan Tentler：

“我不相信攻擊者能讓AI乖乖干活，成功率還高達90%。我們這些正常用戶天天被AI拒絕服務，或者得到一堆廢話。為什么攻擊者用AI就這么順利？是他們有什么魔法嗎？”

這個質疑道出了很多人的疑惑：如果AI的安全機制這么容易被繞過，為什么日常使用時這些機制又顯得這么嚴格？

Anthropic自己的報告里其實也承認了：“Claude經常夸大發現，有時甚至編造數據。它可能聲稱獲取了某些憑證，但這些憑證實際上無法使用；或者聲稱發現了關鍵信息，結果只是一些公開可訪問的內容。”

這段話讓很多人困惑：既然AI有這么明顯的問題，那80-90%的自動化率是怎么算出來的？

Anthropic的真實目的：賣產品

讀到報告結尾，djnn發現了一個有趣的段落：

“網絡安全社區需要認識到發生了根本性變化：安全團隊應該嘗試將AI應用于防御領域，例如SOC自動化、威脅檢測、漏洞評估和事件響應…”

等等，誰在賣AI安全產品？答案是：Anthropic自己。

這就有意思了。先發布一份聳人聽聞的報告，說AI黑客多么可怕，然后告訴你：要用AI來對抗AI，而我們正好有這個產品。

djnn在博客里寫道：“這不是威脅情報報告，這是一份包裝精美的產品廣告。制造恐慌，然后推銷解決方案——這套路在安全行業不新鮮，但做得這么明顯的還真不多見。”

Berryville IML的研究人員在另一篇評論文章中也指出了同樣的問題：“如果報告沒有給出任何關于TTPs和檢測的細節，那這份報告的目的到底是什么？答案就在報告結尾那段話里——推銷AI防御產品。”

一個安全研究員的憤怒

djnn在文章最后說得很清楚：“很可能確實有黑客在用AI工具，這沒人否認。但這不意味著我們可以接受沒有證據的報告。”

他強調：“在任何嚴肅的領域，你不能光提出一個驚人的說法，然后拒絕給證據。 威脅情報報告不是營銷材料。 它承載著幫助全球安全團隊防御真實威脅的責任。當這個工具被用作營銷手段時，不僅傷害了行業的專業性，也會讓真正重要的安全警告失去公信力。”

“如果Anthropic愿意公開完整的技術細節和IOCs，我很樂意在博客上更正我的判斷。但在那之前，我的結論是：這份報告無法通過任何嚴肅的技術審查。”

djnn的批評尤其嚴厲的一點是關于歸因問題。報告聲稱將攻擊歸因于特定的國家級威脅組織，但沒有提供任何歸因依據——是哪個APT組織？什么技術特征幫助做出這個判斷？

“歸因是一件非常嚴肅的事情，可能產生外交影響。你不能在沒有充分證據的情況下，隨意指向某個國家。就現有證據來看，我們甚至無法排除這只是一群使用開源工具的初級攻擊者。”

他在文章結尾寫道：

“歸根結底， 這份報告就是一次可悲的產品推銷嘗試，不應該被當作其他任何東西。 這是可恥的，極其不專業的。為了多賣一點產品而無視基本職業操守的做法，讓我永遠不想使用他們的產品。做得更好一點吧。”

HackerNews上的討論最終達成了一個基本共識：AI確實在改變網絡安全的游戲規則，攻擊者確實在嘗試使用AI工具。但Anthropic這份報告的問題在于，它用一個缺乏證據的驚人聲明來推銷產品，而不是真誠地分享威脅情報。

正如djnn所說：“我們需要基于事實的證據，需要能夠驗證的信息。否則，任何人都可以說任何話，只要加上’這可能正在發生’的前提。但這還不夠好，遠遠不夠。”

在AI重塑各個行業的當下，這個案例提醒我們： 不是所有頭部AI公司說的話都是真理。 當一個驚人的說法出現時，問一句"證據在哪里"，永遠不會錯。

本文主要內容編譯自安全研究員djnn.sh的博客文章《Anthropic's paper smells like bullshit》，并綜合了HackerNews社區的技術討論。

編譯：周華香