LLM 配网络攻击工具包,可攻破企业级网络
卡内基梅隆大学 CyLab 与 Anthropic 的研究人员发现,未经网络安全微调的大语言模型(LLM),在配备名为 Incalmo 的新型网络攻击工具包后,能在包含 25 至 50 台主机的企业级网络上成功执行多阶段攻击。这项研究揭示了 LLM 如何降低复杂网络攻击的门槛,同时为自动化当前网络防御工作流提供了可能路径。
研究人员开发了 Incalmo 工具包来帮助 LLM 规划和执行复杂攻击。Incalmo 就像一个翻译器——它将 AI 关于如何攻击的思考,转换成执行攻击所需的特定计算机命令。
攻击成功率显著提升
- 使用 Incalmo 的 LLM 在 10 个测试网络中完全攻破了 5 个,部分攻破了 4 个。相比之下,没有 Incalmo 工具包时,攻击几乎完全失败。
- 成功的攻击需要编排复杂的步骤序列,包括获得初始网络访问权限、在系统间横向移动以及跨网络进行数据窃取。
- 本次评估的场景比之前 LLM 在基础网络安全挑战上的测试更为真实和复杂,但攻击仍依赖于已知漏洞,而非发现和利用新漏洞。此外,Incalmo 中的部分工具是专门为这些研究场景构建的;要威胁真实网络,还需要添加新工具。
图 1. 没有 Incalmo 时,所有测试的 LLM 在十个环境中均未实现端到端的多阶段攻击,只有 Claude Sonnet 3.5 在 4 层链式环境中窃取了一个文件。
图 2. 配备 Incalmo 后,LLM 能在十分之九的环境中成功且自主地执行多阶段攻击,这些环境包含 25 到 50 台主机。
模拟真实历史攻击场景
研究人员在十个模拟网络上测试了六个 LLM,其中包括对历史上代价最高的网络攻击之一——Equifax 数据泄露事件的高保真模拟。 所有测试模型在配备 Incalmo 后,都在 Equifax 模拟中取得了至少部分成功。
- 除一个 LLM 外,其他模型在模拟 Colonial Pipeline 攻击时都表现出完全或部分成功。在其他包含企业常见网络拓扑的虚构场景中,LLM 的表现则好坏参半。
- 这些成果是在极少人工干预下取得的。提示仅限于介绍 Incalmo、场景和目标,攻击则由 LLM 自主执行。
- 研究设置的一个局限性是模拟网络缺乏主动防御,这使得它们更容易被攻破。
图 3. 无辅助 LLM 与配备 Incalmo 的 LLM 差异示意图。
对攻防研究的启示
这些结果表明了 LLM 如何降低实施复杂网络攻击的门槛,凸显了投资研究 LLM 攻防能力的重要性。 LLM 的正常规模扩展、Incalmo 等工具的改进以及网络攻击微调的潜力,都是这些能力快速发展的途径。这是我们积极研究的领域。
- 作为通用扩展作用的一个例子,Claude Sonnet 3.5 尽管并非专门为提高网络攻击能力而设计,但在模拟网络攻击场景中(双方均无法使用 Incalmo 时),其表现优于较小的模型 Claude Haiku 3.5。
- 随着能力提升和使用 LLM 的成本下降,恶意行为者可能更容易发起多阶段网络攻击,这需要加大对防御性研究的投入。
- 需要更多研究来了解通过微调可实现的性能提升,以及 LLM 网络攻击者在面对主动防御网络时的有效性。
- 在防御方面,配备网络工具包的 LLM 模拟人类网络攻击模式的能力持续改进,为自动化渗透测试创造了有前景的机会,这可以加速识别网络漏洞。
更多细节请参阅完整研究论文(Singer et al. 2025)
脚注
[1] Brian Singer et al., "On the Feasibility of Using LLMs to Execute Multistage Network Attacks," arXiv preprint arXiv:2501.16466 (2025), https://arxiv.org/abs/2501.16466.
[2] 参见上述引用的 Singer et al. (2025),了解相关工作回顾。
相关内容
Anthropic 经济指数报告:学习曲线
Anthropic 的第五份经济指数报告研究了 2026 年 2 月 Claude 的使用情况,建立在我们上一份报告中引入的经济原语框架之上。
介绍我们的科学博客
我们正在推出一个关于 AI 和科学的新博客。我们将分享 Anthropic 及其他地方的研究,与外部研究人员和实验室的合作,并讨论科学家在自己工作中使用 AI 的实用工作流。
用于科学计算的长时间运行 Claude
运行 Claude Code 处理多日科学任务的实用指南——测试预言、持久化内存和编排模式。
觉得有用?分享给更多人