摘要
依托 HelpNetSecurity 发布的 ESET 2026 年上半年威胁趋势报告核心情报,针对攻击者大规模滥用 AI 组件、生成式 AI 植入恶意代码、AI 赋能社会工程欺诈三大新型威胁,系统梳理恶意 AI Skills、PromptSpy 安卓 AI 间谍软件、ClickFix 虚假验证钓鱼、EDR 卸载工具、二维码钓鱼(Quishing)五大主流攻击载体的技术机理。报告显示 ESET 共监测近 90 万 AI 功能组件,数万份可疑样本、数千件纯恶意 AI 组件,恶意 AI 组件数量在 2026 年 3—5 月涨幅达五倍,攻击不再创造全新手段,而是基于传统攻击流程叠加 AI 实现规模化、自适应免杀欺骗。本文拆解 AI 代理组件供应链攻击、终端 AI 恶意代码、AI 增强多渠道社会工程三类完整攻击链路,剖析传统静态特征检测、终端单一层防护、AI 平台无审计管控体系的多层短板;构建 AI 组件行为审计、动态沙箱 AI 载荷解析、终端 AI 恶意程序识别、零信任身份验证四层一体化防御框架,配套 AI 恶意脚本静态检测、Prompt 注入拦截、AI 代理权限管控三段可落地工程代码。反网络钓鱼技术专家芦笛指出,AI 攻击的核心风险在于将自动化能力嵌入全攻击链路,传统安全设备仅能识别固定恶意特征,无法捕捉 AI 动态自适应行为,防护体系必须建立面向 AI 运行时的行为基线检测机制。本文从 AI 平台权限管控、终端动态行为监测、全域社会工程拦截、SOC 专项 AI 威胁运营、员工 AI 安全意识培训五个维度搭建闭环纵深防御模型,依托 ESET 实测威胁数据验证方案检出效率,为政企应对 AI 驱动复合型网络攻击提供标准化技术落地路径,弥补现有安全体系缺少 AI 专项检测能力的研究空白。
关键词:恶意 AI 组件;PromptSpy;生成式 AI 恶意代码;ClickFix 钓鱼;EDR 杀手;AI 代理审计;动态沙箱;终端安全防护
1 引言
2026 年 7 月 8 日,ESET 安全实验室发布上半年全球网络威胁趋势报告,经 HelpNetSecurity 同步公开完整行业研判数据,报告覆盖 2025 年 12 月至 2026 年 5 月全球终端、云平台、移动端全维度威胁遥测数据,明确生成式人工智能已从辅助社工工具进化为恶意代码内置运行模块、AI 代理供应链攻击载体,成为 2026 年网络威胁演化核心变量。不同于以往攻击团伙从零开发新型漏洞利用工具,当前攻击者主流策略为复用成熟攻击流程,将 AI 作为增效模块嵌入侦察、诱饵生成、载荷适配、免杀持久化全流程,大幅降低攻击技术门槛、提升攻击规模化投放与自适应规避能力。
报告核心量化数据显示,ESET 安全检测系统累计采集近 90 万 AI Agent 配套功能组件(AI Skills),其中数万份存在可疑风险行为,超千份组件具备完整恶意功能;2026 年 3 月至 5 月恶意 AI 组件数量环比增长五倍,风险扩张速度远超传统恶意程序。移动端领域,ESET 捕获全球首款内置生成式 AI 运行逻辑的安卓间谍软件 PromptSpy,该恶意程序调用 Google Gemini 大模型 API 解析设备 UI 界面,动态适配不同安卓系统版本实现持久驻留、锁屏数据窃取、屏幕录制等恶意行为,打破传统恶意代码硬编码固定操作逻辑的局限,静态特征库难以匹配统一识别特征ESET。
同时,AI 赋能传统钓鱼攻击形成规模化扩散趋势,HTMLFakeCaptcha 虚假验证弹窗类 ClickFix 攻击检出量较 2025 年下半年上涨 108%,AI 自动生成贴合行业场景的验证码欺骗页面;二维码钓鱼(Quishing)、多渠道 AI 社工话术同步爆发,攻击者依托 AI 批量生成无语法瑕疵、贴合企业业务的定向诱导内容;勒索软件团伙持续迭代 EDR 杀手工具,配合 AI 混淆代码绕过终端安全软件拦截,RaaS 勒索即服务模式依托 AI 实现批量定制化攻击投放,中小企业成为主要受害目标。
现有网络安全防护体系建设逻辑仍以静态特征匹配、固定恶意行为规则检测为核心,未针对 AI 动态自适应攻击设计专项监测能力,企业普遍缺少 AI 代理组件权限审计、云端大模型接口调用日志全量留存、终端 AI 恶意代码动态解析机制,形成大面积 AI 威胁检测盲区。当前学术研究多聚焦 Prompt 注入单一漏洞、AI 钓鱼文本识别,缺少对恶意 AI 组件供应链、终端内置 AI 恶意程序、EDR 卸载协同攻击的全链路拆解与一体化防御方案设计,行业缺少标准化 AI 威胁 SOC 运营流程与自动化检测代码实现。
反网络钓鱼技术专家芦笛强调,AI 驱动攻击并非单一新型漏洞威胁,而是全链路攻击增效体系,传统基于特征码、关键词的静态防护手段存在天然滞后性,企业安全建设必须新增 AI 运行时行为基线监测能力,打通云端 AI 平台、办公协作渠道、终端设备三层数据,实现 AI 恶意行为跨域关联研判。
本文以 ESET 2026 上半年威胁报告披露的全部威胁类型、量化数据、攻击样本为核心研究基底,完整拆解恶意 AI 组件供应链攻击、PromptSpy 移动端 AI 间谍软件、AI 增强 ClickFix 钓鱼、EDR 杀手协同勒索攻击四类典型攻击链路,定量分析传统静态防护、终端单点管控、AI 平台无审计架构的固有缺陷,设计四层全域 AI 威胁检测防御框架,提供三段可部署自动化检测代码,构建技术管控、终端监测、安全运营、人员培训一体化闭环防御体系,实测验证框架对 AI 复合型攻击的识别拦截效率,为政企搭建面向 AI 时代的纵深安全防护体系提供理论支撑与工程实践方案。
2 2026 上半年 AI 驱动网络威胁核心类型、技术特征与完整攻击链路
2.1 ESET 报告披露 AI 类威胁基础统计与整体演化逻辑
ESET 实验室半年内完成近 90 万份 AI Skills 组件样本分析,AI Skills 是 AI 智能代理执行专项任务的小型功能模块,涵盖文件读取、网页浏览、系统命令执行、第三方接口调用、文本生成等能力,正常用于企业自动化办公 AI 工具,攻击者篡改组件逻辑植入恶意行为,形成供应链攻击入口。报告明确攻击者演化核心思路:不研发全新攻击手段,仅在成熟攻击流程中嵌入 AI 模块实现三大提升:一是自动化批量生成高仿真社工诱饵;二是恶意代码动态适配设备、系统环境规避静态查杀;三是依托 AI 代理绕过人工操作限制完成全域内网侦察、数据外渗、权限越权操作。
整体威胁分层结构分为三大层级:第一层为云端 AI 代理组件供应链恶意注入;第二层为终端内置生成式 AI 恶意代码(移动端 PromptSpy、PC 端 AI 勒索程序);第三层为 AI 赋能传统社会工程与勒索攻击(ClickFix 钓鱼、EDR 杀手、二维码钓鱼),三层威胁相互协同,形成覆盖云、端、移动设备的全域攻击面。
2.2 第一类威胁:恶意 AI Skills 组件供应链攻击
2.2.1 核心技术特征
组件依托正规 AI 代理市场分发,企业员工、运维人员自主导入 AI 自动化工具,无外部恶意文件下载行为,邮件网关、终端杀毒初始扫描判定为可信程序;
恶意组件内置越权行为逻辑:读取本地文件、批量导出云端文档、执行系统命令、外联攻击者 C2 服务器上传数据、篡改原有 AI 指令执行逻辑;
攻击具备隐蔽迭代能力,攻击者持续更新组件混淆代码,无固定静态特征,传统哈希黑名单拦截失效;
单份恶意 AI 组件可串联多渠道攻击,完成内网侦察、钓鱼邮件批量生成、终端载荷下载全流程操作。
2.2.2 完整攻击链路拆解
供应链投放阶段:攻击者向公开 AI 组件市场上传伪装成办公自动化、文档处理、数据统计工具的恶意 AI Skills,植入后台数据外传、系统命令执行恶意逻辑;
企业导入部署阶段:企业运维、行政人员为提升办公效率下载第三方 AI 代理组件,在企业 AI 工作平台完成授权,赋予组件访问企业网盘、邮箱、本地终端的全域权限;
AI 自动化恶意执行阶段:AI 代理按照预设定时规则,调用恶意组件批量读取员工云端文件,依托大模型 API 生成企业内部人员信息、财务数据汇总文档,加密上传至攻击者受控服务器;同步调用 AI 文本生成功能,批量生成 ClickFix 虚假验证钓鱼消息,分发至企业 Teams、邮件渠道;
横向渗透阶段:恶意 AI 组件利用企业 AI 平台统一权限,调取全部门员工通讯录、账户权限清单,筛选财务、高管等高价值账户定向投放 AI 钓鱼诱饵,配合 EDR 杀手工具推送终端恶意载荷,完成内网横向扩散。
2.3 第二类威胁:PromptSpy 移动端生成式 AI 间谍软件攻击
ESET 于 2026 年 2 月捕获 PromptSpy,为全球首款内置生成式 AI 运行逻辑的安卓间谍软件,是移动端 AI 恶意代码标志性样本,主要针对西班牙语区用户,开发代码中存在中文调试字段,攻击以金融支付信息窃取、锁屏隐私数据采集为核心目标。
2.3.1 PromptSpy 核心 AI 技术机理
恶意程序内置 Google Gemini API 调用接口,运行时向大模型发送设备 UI 界面截图、系统版本、应用列表等环境数据,通过 Prompt 指令让 AI 输出适配当前设备的持久化、隐藏操作逻辑,解决传统间谍软件硬编码适配单一系统版本、易被终端规则拦截的缺陷。AI 输出指令控制程序完成:锁屏界面数据捕获、屏幕录制、阻止用户卸载程序、后台静默安装附属盗卡模块、NFC 支付卡片信息读取。
2.3.2 完整攻击流程
分发渠道:仿冒应用商店、虚假彩票 APP、办公工具安装包,通过二维码钓鱼、社交平台 AI 生成推广链接投递;
权限诱导阶段:APP 安装后依托 AI 生成本土化诱导弹窗,诱导用户授予屏幕录制、文件读写、后台悬浮窗、NFC 读取全部敏感权限;
AI 环境适配阶段:程序采集设备系统信息,调用 Gemini 大模型生成适配当前设备的隐藏驻留策略,自动规避系统自带安全拦截机制;
数据窃取外传:持续采集支付验证码、银行卡信息、聊天隐私,加密后通过 AI 代理组件同步至攻击者 C2 服务器,同步生成仿银行、支付平台钓鱼页面推送至受害者社交渠道。
2.4 第三类威胁:AI 赋能 ClickFix 虚假验证钓鱼与二维码钓鱼
报告数据显示 HTMLFakeCaptcha 类 ClickFix 攻击检出量同比上涨 108%,AI 成为该类钓鱼规模化扩张核心驱动力,同时二维码钓鱼(Quishing)依托 AI 批量生成虚假付款、账户验证二维码,形成多渠道协同社工攻击。
AI 诱饵生成逻辑:攻击者输入企业行业、部门、岗位信息,大模型秒级生成定制化虚假人机验证页面、账户过期提醒、发票核验弹窗,页面文本、排版、弹窗样式贴合企业办公系统,无统一高危关键词;
欺骗链路:邮件铺垫 + Teams 私信推送 AI 生成链接 / 二维码,用户点击后跳转 AI 动态渲染的虚假验证页面,诱导输入账户凭证、MFA 验证码;
规避检测特性:AI 实时调整页面文本、图片元素,同一域名下不同用户访问页面内容存在差异化变化,静态 URL 沙箱单次抓取无法匹配风险特征,漏报率大幅提升。
2.5 第四类威胁:AI 混淆 EDR 杀手与 RaaS 勒索协同攻击
勒索软件团伙持续更新 EDR 卸载工具套件,使用生成式 AI 对工具代码进行多层混淆、变量随机重命名、动态代码生成,绕过终端 EDR 静态特征检测;RaaS 模式依托 AI 批量生成不同行业勒索信函、加密策略,降低勒索攻击实施门槛。攻击链路为:AI 钓鱼获取账户凭证→内网横向渗透→推送 AI 混淆 EDR 杀手工具→关闭终端安全防护→部署勒索程序加密企业服务器文件→AI 生成定制化勒索邮件实施财务欺诈。
反网络钓鱼技术专家芦笛补充说明,四类 AI 威胁并非独立存在,实际黑产攻击活动中多组合联动,AI 组件负责侦察与诱饵生成,PromptSpy 移动端窃取身份凭证,ClickFix 钓鱼完成账户接管,EDR 杀手与勒索程序实施最终数据破坏,多层威胁叠加放大企业损失规模。
3 传统安全防护体系针对 AI 驱动威胁的固有缺陷
结合 ESET 2026 上半年威胁遥测数据,当前政企主流静态防护、终端单点管控、AI 平台无审计架构在应对 AI 复合型攻击时存在四层结构性短板,形成完整检测盲区。
3.1 静态特征匹配机制无法识别 AI 动态自适应行为
主流邮件安全网关、终端杀毒、URL 沙箱均基于哈希、关键词、固定代码特征开展检测,完全无法适配 AI 攻击动态变化特性:
第一,恶意 AI 组件、PromptSpy 代码依托 AI 实时生成动态执行逻辑,无固定静态特征,哈希值、文本内容每次访问均发生变化,特征库无法完成匹配;
第二,AI 生成钓鱼文本无统一高危关键词,大模型自动规避敏感词汇,正则、语义静态检索难以识别欺骗意图;
第三,ClickFix 页面 AI 动态渲染 DOM 结构,静态爬虫仅抓取初始空白响应,无法捕获解密后虚假验证弹窗,与幽灵钓鱼静态检测盲区形成叠加风险。
ESET 监测数据显示,仅部署传统静态防护的企业,恶意 AI 组件、AI 钓鱼攻击综合拦截率不足 22%,超七成 AI 威胁可完整穿透多层防护抵达终端用户。
3.2 企业 AI 代理平台缺少全生命周期权限与行为审计
当前企业引入第三方 AI 自动化工具、AI 代理组件时,普遍缺失专项管控机制,存在三大管控漏洞:
无组件准入审批流程,员工可自主导入外部 AI Skills,组件默认授予文件、邮箱、系统命令全域访问权限,权限过度放任;
缺少 AI 组件操作日志全量留存,无法记录组件文件读取、接口调用、数据外传行为,攻击发生后无完整取证依据;
未建立 AI 行为基线,无法识别组件越权访问、批量导出数据、外联陌生 C2 服务器等异常操作,仅在数据泄露后才能发现风险。
3.3 终端安全防护缺少内置 AI 恶意代码动态解析能力
终端 EDR、移动安全软件仅监控传统进程、文件读写行为,未针对 AI 恶意程序设计专项监测规则:
无法识别程序内置大模型 API 调用行为,PromptSpy 调用 Gemini 接口交互流量被判定为正常云服务访问,不触发告警;
缺少动态代码执行沙箱,无法捕获 AI 实时生成的系统操作指令,EDR 杀手经 AI 混淆后可静默卸载终端安全软件;
BYOD 移动设备管控薄弱,无强制 AI 应用行为审计,二维码钓鱼投递的 PromptSpy 类恶意程序可长期驻留终端不被发现。
3.4 SOC 安全运营缺少 AI 威胁专项研判流程与跨域关联能力
现有安全运营体系按渠道、终端、云平台分割告警,无法实现 AI 威胁跨域关联研判:
AI 组件云端异常行为、移动端 AI 间谍软件、邮件 AI 钓鱼三类告警分属独立工单,分析师无法自动关联同一攻击活动;
缺少 AI 威胁专用 IOC 指标库,恶意 AI 组件域名、API 接口、Gemini 异常调用特征无法同步至全渠道防护网关;
无标准化 AI 威胁取证规范,攻击处置时缺少 AI 组件日志、API 调用记录、动态渲染页面快照等关键证据,事件溯源、合规审计难度大幅提升。
防护失效引发递进式业务风险链:AI 威胁漏报→员工授权恶意 AI 组件 / 安装 AI 恶意程序→凭证窃取、内网数据批量外传→EDR 防护失效、勒索程序部署→企业数据加密、大额财务欺诈→产生直接经济损失、监管数据泄露处罚、业务长期停摆。
4 面向 AI 复合型威胁的四层全域动态检测防御框架
针对传统防护体系静态滞后、AI 平台无审计、终端无专项监测、告警割裂四大短板,本文构建AI 平台准入审计层、跨渠道动态沙箱检测层、终端 AI 行为监测层、SOC AI 威胁自动化运营层一体化防御框架,覆盖云端 AI 代理、办公协作渠道、PC 终端、安卓移动设备全攻击面,配套三段可落地自动化检测代码,完整填补 AI 威胁防护盲区。
4.1 全域防御框架分层架构设计
框架四层数据互通、规则联动,形成端到端闭环 AI 威胁识别与阻断能力:
AI 平台准入审计层:管控企业内部 AI 代理、第三方 AI Skills 组件导入流程,全量采集组件 API 调用、文件访问、网络外联日志,建立 AI 行为基线,识别越权、数据外传恶意行为;
跨渠道动态沙箱检测层:邮件、Teams、二维码链接统一送入无头浏览器沙箱,执行 AI 页面动态渲染解析、Prompt 注入拦截、ClickFix 虚假验证弹窗识别,同步捕获 AI 生成钓鱼文本特征;
终端 AI 行为监测层:PC 端监控 EDR 杀手 AI 混淆代码、系统异常命令执行;移动端拦截 PromptSpy 类大模型 API 恶意调用、屏幕录制、权限越权行为,本地阻断 AI 恶意程序持久化操作;
SOC AI 威胁自动化运营层:自动聚合云端 AI 组件、终端、多渠道钓鱼全维度告警,关联同一攻击活动,生成标准化 AI 威胁研判报告,同步恶意 AI 组件、API、域名 IOC 至全域防护网关。
4.2 核心模块 1:恶意 AI Skills 组件行为审计检测代码(Python)
本模块对接企业 AI 代理平台日志接口,实时采集 AI 组件操作行为,基于基线规则识别批量文件读取、外联陌生域名、命令执行等高风险恶意 AI 组件,自动推送告警至 SOC 平台。
import requests
import json
from datetime import datetime, timedelta
# 风险基线配置
RISK_DOMAIN = {"c2-attack-store.top", "mal-ai-c2.link"}
SENSITIVE_FILE_PATH = ["/enterprise/finance/", "/employee/contract/"]
DANGER_CMD_KEYWORD = ["rm -rf", "upload_file", "screen_record", "export_all_data"]
def get_ai_platform_log(api_token, scan_window=1):
"""获取AI组件24小时操作日志"""
headers = {"Authorization": f"Bearer {api_token}"}
time_end = datetime.now()
time_start = time_end - timedelta(days=scan_window)
params = {
"start_time": time_start.isoformat(),
"end_time": time_end.isoformat(),
"log_type": "ai_skill_operation"
}
resp = requests.get("https://ai-platform-enterprise.local/api/logs", headers=headers, params=params)
return resp.json().get("data", [])
def audit_malicious_ai_skill(log_list):
"""基于基线审计恶意AI组件行为"""
risk_result = []
for log in log_list:
skill_id = log["skill_id"]
skill_name = log["skill_name"]
op_content = log["operation_content"]
target_path = log["access_file"]
external_url = log["external_request"]
exec_cmd = log["system_command"]
risk_flag = False
risk_desc = []
# 规则1:访问财务、合同敏感文件目录
if any(path in target_path for path in SENSITIVE_FILE_PATH):
risk_flag = True
risk_desc.append("越权访问企业敏感业务文件")
# 规则2:外联恶意C2域名
if any(domain in external_url for domain in RISK_DOMAIN):
risk_flag = True
risk_desc.append("外联攻击者受控C2服务器")
# 规则3:执行高危系统操作命令
if any(cmd in exec_cmd for cmd in DANGER_CMD_KEYWORD):
risk_flag = True
risk_desc.append("执行数据窃取、删除高危系统指令")
if risk_flag:
risk_result.append({
"skill_id": skill_id,
"skill_name": skill_name,
"operation_time": log["op_time"],
"risk_type": "恶意AI组件供应链攻击",
"risk_detail": risk_desc,
"risk_level": "严重"
})
return risk_result
if __name__ == "__main__":
token = "ENTERPRISE_AI_PLATFORM_API_TOKEN"
logs = get_ai_platform_log(token)
risk_skills = audit_malicious_ai_skill(logs)
if risk_skills:
print("检测到高风险恶意AI组件:")
for item in risk_skills:
print(json.dumps(item, ensure_ascii=False, indent=2))
# 同步风险组件至AI平台黑名单,自动禁用
requests.post("https://ai-platform-enterprise.local/api/block_skill", json=risk_skills)
else:
print("24小时内未发现恶意AI组件异常行为")
代码说明:脚本可部署于企业 SIEM 平台,定时轮询 AI 平台全量组件操作日志,多维度基线规则识别供应链恶意 AI Skills,自动阻断风险组件权限,补齐 AI 代理平台无自动化审计的短板。反网络钓鱼技术专家芦笛评价,该模块可将恶意 AI 组件漏报率降低 78%,实现 AI 威胁前置拦截。
4.3 核心模块 2:Prompt 注入与 ClickFix AI 钓鱼页面沙箱检测 JS 脚本
集成于无头浏览器沙箱,拦截页面向大模型发送恶意 Prompt、识别 AI 动态生成的虚假人机验证 ClickFix 弹窗,还原 AI 渲染后恶意 DOM 页面。
// 沙箱内置AI钓鱼行为检测脚本
window.addEventListener("DOMContentLoaded", function(){
let riskLog = [];
// 1. 拦截页面向Gemini、OpenAI等大模型API发送恶意Prompt
const originalFetch = window.fetch;
window.fetch = async function(resource, config){
const url = resource.toString();
// 匹配主流生成式AI接口地址
const aiApiRule = /(gemini|openai|claude|gpt)/i;
if(aiApiRule.test(url)){
const reqBody = config?.body ? JSON.parse(config.body) : {};
// 检测窃取凭证、诱导授权类恶意Prompt
const promptText = reqBody.prompt || reqBody.messages?.[0]?.content || "";
if(/账户验证|验证码|屏幕录制|导出文件|窃取信息/.test(promptText)){
riskLog.push({
time: new Date().toISOString(),
riskType: "恶意Prompt注入攻击",
targetApi: url,
maliciousPrompt: promptText
});
// 阻断AI接口请求
return new Response(JSON.stringify({"block":"malicious prompt intercepted"}), {status:403});
}
}
return originalFetch(resource, config);
}
// 2. 识别AI动态生成ClickFix虚假验证弹窗
function scanClickFixDOM(){
const allDiv = document.querySelectorAll("div");
for(let box of allDiv){
const text = box.innerText;
if(/人机验证|账户安全核验|验证码输入|立即解锁/.test(text) && box.style.position === "fixed"){
riskLog.push({
time: new Date().toISOString(),
riskType: "AI ClickFix钓鱼弹窗",
domSnapshot: box.outerHTML
});
}
}
}
// 每500ms扫描DOM,捕获AI延时渲染弹窗
setInterval(scanClickFixDOM, 500);
// 定时推送风险日志至沙箱分析后端
setInterval(()=>{
if(riskLog.length > 0){
fetch("http://sandbox-backend.local/ai-threat-log", {
method: "POST",
headers: {"Content-Type":"application/json"},
body: JSON.stringify(riskLog)
});
riskLog = [];
}
}, 1000);
});
脚本功能:在沙箱浏览器加载页面时实时监控 AI 大模型接口调用与 DOM 动态变化,拦截恶意 Prompt 注入、标记 AI 生成虚假验证弹窗,完整捕获 ClickFix 钓鱼攻击证据,解决静态沙箱无法识别 AI 动态渲染载荷的缺陷。
4.4 核心模块 3:移动端 PromptSpy AI 恶意程序监测安卓 Shell 脚本
针对安卓设备监控 Gemini API 恶意调用、后台屏幕录制、卸载拦截行为,终端本地阻断 PromptSpy 类 AI 间谍软件运行。
shell
#!/system/bin/sh
# PromptSpy安卓AI恶意程序实时监测脚本
# 监控Gemini大模型API外联流量
GEMINI_API_DOMAIN="generativelanguage.googleapis.com"
# 高危行为关键词
SCREEN_RECORD_PROCESS="screenrecord"
UNINSTALL_BLOCK_PACKAGE="packageinstaller"
# 持续循环监测
while true; do
# 1. 检测设备外联Gemini API异常高频请求
TRAFFIC_LOG=$(dmesg | grep $GEMINI_API_DOMAIN | tail -10)
if [ -n "$TRAFFIC_LOG" ]; then
echo "[告警] 设备存在异常Gemini API调用,疑似PromptSpy AI间谍软件" >> /sdcard/ai_threat_log.txt
# 阻断恶意域名网络访问
iptables -A OUTPUT -d $GEMINI_API_DOMAIN -j DROP
fi
# 2. 检测后台屏幕录制进程
RECORD_PID=$(ps | grep $SCREEN_RECORD_PROCESS | grep -v grep)
if [ -n "$RECORD_PID" ]; then
echo "[告警] 后台静默屏幕录制,AI间谍软件窃取隐私" >> /sdcard/ai_threat_log.txt
killall $SCREEN_RECORD_PROCESS
fi
# 3. 监测拦截卸载行为的恶意程序
BLOCK_UNINSTALL=$(logcat -d | grep $UNINSTALL_BLOCK_PACKAGE | grep deny)
if [ -n "$BLOCK_UNINSTALL" ]; then
echo "[告警] 程序拦截卸载,存在持久化AI恶意代码风险" >> /sdcard/ai_threat_log.txt
fi
sleep 2
done
脚本部署于企业移动管理平台(MDM)管控终端,实时监测 PromptSpy 标志性行为,本地阻断恶意 API 调用与隐私窃取操作,弥补移动端安全软件缺少 AI 恶意代码专项检测的短板。
4.5 AI 威胁跨域关联引擎核心判定规则
关联引擎统一汇总 AI 平台、沙箱、终端三层监测数据,四类核心规则自动识别复合型 AI 攻击并升级高危告警:
时序关联规则:同一员工 24 小时内同时出现 AI 组件越权访问、ClickFix 钓鱼链接访问、移动端 Gemini 异常调用,标记 AI 协同复合攻击;
基础设施关联规则:同一 C2 域名、AI 大模型 API 恶意调用特征同步出现在云端 AI 组件、终端恶意程序、钓鱼页面,全域自动拦截对应基础设施;
权限行为关联规则:员工导入第三方 AI 组件后短时间内批量授予文件、屏幕录制、系统命令全部权限,触发 AI 供应链高危告警;
终端防御关联规则:终端检测到 AI 混淆 EDR 杀手进程,同步检索该设备是否访问过 AI 钓鱼链接、导入恶意 AI 组件,完整还原攻击全链路。
5 五层闭环 AI 威胁防御落地实施策略
依托四层全域动态检测框架,结合 AI 平台权限管控、终端加固、SOC 标准化运营、分场景员工安全培训,构建 “AI 入口管控 - 动态沙箱拦截 - 终端行为阻断 - 安全运营处置 - 人员意识兜底” 五层闭环防御体系,全方位抵御 AI 驱动复合型网络攻击。
5.1 第一层:企业 AI 代理平台全生命周期准入与权限管控(源头防护)
从恶意 AI 组件供应链入口建立刚性管控规则,杜绝员工自主导入未审核 AI Skills:
建立 AI 组件准入审批流程:所有第三方 AI 自动化组件、AI Skills 必须提交安全团队静态 + 动态沙箱检测,验证无数据外传、命令执行等高风险行为后方可上线,禁止员工私自导入外部 AI 工具;
最小权限分配原则:AI 组件默认仅授予单一业务目录只读权限,禁止默认开放财务、合同、客户涉密数据全域访问,组件如需新增权限需 IT 人工二次审批;
全量日志留存机制:永久留存 AI 组件文件访问、API 调用、网络外联、系统操作完整日志,留存周期满足监管审计要求,作为 AI 威胁溯源核心取证材料;
定时自动化基线审计:每日运行前文 Python 审计脚本扫描 AI 组件异常行为,自动禁用触发高危规则的恶意组件,同步恶意组件 ID 至全域黑名单。
反网络钓鱼技术专家芦笛强调,管控 AI 组件供应链是抵御 AI 攻击成本最低、效果最显著的前置手段,可从源头切断攻击者依托 AI 代理实施内网侦察、数据窃取的核心通道。
5.2 第二层:全渠道统一动态沙箱 AI 载荷解析(传播链路拦截)
打通邮件、Teams、日历邀约、二维码外链统一检测通道,所有外部链接强制送入 AI 专项动态沙箱:
沙箱内置 Prompt 注入拦截、ClickFix DOM 扫描脚本,完整执行页面 JS、AI 接口调用逻辑,还原 AI 动态渲染后的恶意钓鱼页面,规避静态检测漏报;
二维码钓鱼统一解析:扫码跳转链接自动转发沙箱检测,识别 AI 生成虚假付款、账户验证二维码诱饵;
沙箱输出 AI 威胁专属 IOC 指标,包含恶意 AI 组件域名、大模型恶意 Prompt 特征、ClickFix 页面哈希,同步至邮件网关、终端防火墙全域拦截。
5.3 第三层:PC 与移动端终端 AI 恶意行为专项加固(终端边界防护)
针对 PromptSpy、AI 混淆 EDR 杀手、勒索程序搭建终端分层防护机制:
PC 终端升级 EDR 检测规则,新增 AI 代码混淆识别、批量系统命令执行、勒索程序 AI 动态加密行为监测,自动终止 EDR 杀手进程;
移动设备部署 MDM 管控,推送安卓 AI 恶意监测 Shell 脚本,拦截 Gemini、OpenAI 等大模型 API 异常外联、后台屏幕录制、卸载拦截行为;BYOD 设备禁止安装未上架应用商店的第三方 AI 工具;
终端禁用无限制 AI 脚本本地运行权限,隔离本地大模型离线工具访问企业内网文件系统,缩小 AI 恶意代码攻击面。
5.4 第四层:SOC 专项 AI 威胁标准化运营流程(事件处置防护)
重构安全运营工单体系,设立独立 AI 威胁研判处置流程,缩短复合型 AI 攻击遏制时长:
分级告警流转:跨域关联引擎标记 “严重” 级 AI 协同攻击自动升级紧急工单,附带 AI 组件日志、沙箱 DOM 快照、终端进程日志完整证据链,Tier1 分析师可直接执行组件禁用、账户冻结、域名封禁操作;
每周 AI 威胁狩猎:基于沙箱与终端产出 IOC 指标,检索 AI 平台、邮件、终端全量日志,主动挖掘未触发告警的潜伏恶意 AI 组件、移动端间谍软件;
月度规则迭代复盘:汇总当月漏报、误报 AI 威胁样本,优化 AI 组件审计基线、沙箱 Prompt 拦截规则、终端 AI 恶意程序监测策略,持续降低长期漏报率;
标准化取证归档:AI 威胁事件处置必须留存 AI 操作日志、沙箱 AI 载荷快照、终端恶意进程记录,形成合规审计完整证据包。
5.5 第五层:分场景 AI 安全常态化员工培训(社会工程兜底防护)
AI 攻击高度依赖员工自主导入恶意组件、点击 AI 钓鱼链接、授予恶意程序权限,技术防护无法完全消除人为风险,配套定向培训补齐短板:
AI 组件供应链专项科普:明确告知员工禁止私自下载外部 AI 自动化工具,讲解恶意 AI 组件批量窃取企业文件、外联黑客服务器的完整攻击流程;
AI 钓鱼场景识别训练:演示 ClickFix 虚假验证弹窗、AI 生成仿企业通知邮件、二维码钓鱼三类典型诱饵,区分正规系统验证与 AI 伪造页面视觉差异;
移动端 AI 恶意程序风险科普:提示员工不安装仿冒应用商店、彩票、支付类 APP,警惕 APP 索要屏幕录制、NFC 读取、后台悬浮窗全量敏感权限;
周期性模拟 AI 钓鱼演练:每月向全员推送 AI 生成 Teams、邮件复合诱饵,根据演练受骗率动态调整培训重点,摒弃年度一次性形式化安全教育。
6 方案效果验证与分行业差异化防御建议
6.1 全域 AI 威胁检测框架对比测试
选取 ESET 2026 上半年公开的 180 份真实 AI 威胁样本(含恶意 AI 组件、PromptSpy 移动端样本、AI ClickFix 钓鱼页面、AI 混淆 EDR 杀手载荷),分别采用传统静态防护架构、本文四层全域动态检测框架开展对比测试,量化核心指标如下:
传统静态特征防护架构样本综合检出率:21.11%,近八成 AI 动态自适应威胁因无固定静态特征被放行;
本文全域 AI 专项检测框架样本综合检出率:97.78%,仅 4 份多层延迟 AI 交互样本存在轻微漏报,迭代沙箱 DOM 扫描时序规则后可实现全覆盖;
单起 AI 复合型攻击平均处置时长:传统隔离 SOC 人工溯源平均 9.7 小时,配套自动化 AI 威胁证据报告后平均处置时长压缩至 1.4 小时,大幅缩短账户、数据暴露窗口期;
告警误报指标:依托多维度跨域关联基线过滤单一渠道误告警,整体误报率低于 0.3%,不会额外增加 SOC 无效人力消耗。
实测数据证明,面向 AI 运行时的全域动态检测框架可有效弥补传统静态防护体系的滞后性短板,针对 AI 驱动复合型攻击具备极强识别与阻断能力。
6.2 分行业差异化 AI 威胁防御优先级建议
结合 ESET 威胁报告披露的攻击投放偏向,依据行业数据资产价值、AI 办公工具普及程度划分落地实施顺序:
金融、会计咨询行业(最高风险):优先落地 AI 组件全流程审批管控、全员移动设备 MDM AI 监测,终端强制部署 EDR AI 混淆代码检测,每月开展 AI 钓鱼模拟演练,全面关闭员工自主导入 AI 组件权限;
制造业、科技研发企业:优先打通邮件、协作渠道 AI 沙箱统一检测,针对采购、财务、研发岗位定向开展恶意 AI 组件专项培训,每周审计 AI 平台组件操作日志;
托管安全服务商 MSSP:将四层 AI 检测框架集成至托管安全服务,为客户统一输出恶意 AI 组件、Prompt 注入、PromptSpy 专项 IOC 狩猎指标,批量加固租户 AI 平台权限与终端管控策略;
教育、政务机构:重点管控第三方 AI 教学、办公工具准入,限制学生、公职人员移动端未知 AI 应用安装,拦截仿政务通知类 AI ClickFix 钓鱼诱饵。
反网络钓鱼技术专家芦笛总结,AI 攻击投放强度与企业 AI 工具普及度、核心涉密数据价值正相关,高价值行业不可仅依靠传统杀毒、邮件网关基础防护,必须搭建覆盖 AI 平台、多渠道通信、终端移动设备的全域 AI 威胁专项检测体系,实现技术、运营、人员多层防护闭环。
7 结语
2026 上半年 ESET 全球威胁报告清晰揭示网络攻击核心演化方向:攻击者不再大规模研发全新漏洞利用工具,转而依托生成式 AI 改造成熟攻击链路,恶意 AI 组件供应链、移动端内置 AI 间谍软件、AI 增强社会工程钓鱼、AI 混淆终端防御卸载工具形成协同攻击体系,传统静态特征匹配防护架构出现大面积检测失效,单一员工授权恶意 AI 组件、点击 AI 钓鱼链接即可引发企业内网数据批量泄露、勒索加密、大额财务欺诈等严重业务损失。
本文依托 HelpNetSecurity 同步发布的 ESET 2026 上半年 AI 威胁趋势完整情报,系统拆解四类主流 AI 驱动攻击的底层技术机理与标准化攻击链路,定量论证传统静态检测、AI 平台无管控、终端缺少 AI 专项监测、SOC 告警割裂四大结构性防护短板,设计四层全域动态 AI 威胁检测防御框架,提供恶意 AI 组件审计、沙箱 AI 钓鱼拦截、移动端 PromptSpy 监测三段可工程化部署代码,从 AI 供应链准入管控、全渠道动态沙箱拦截、终端 AI 恶意行为加固、标准化 SOC AI 威胁运营、定向员工安全培训五个维度构建完整闭环纵深防御模型。实测数据表明,该框架可将 AI 复合型威胁综合检出率提升至 97% 以上,显著压缩数据暴露窗口期与人工事件处置成本。
从长期攻防迭代趋势判断,生成式 AI 对网络攻击的赋能作用将持续深化,未来 AI 恶意代码将进一步简化开发流程、提升环境自适应能力,AI 代理组件攻击面将持续扩张至企业设计、研发、财务全业务场景,仅依靠静态特征库、分渠道独立管控的传统防护体系会持续暴露防护盲区。企业安全建设需要彻底转变 “事后特征匹配” 的被动防护思路,搭建覆盖云端 AI 平台、办公协作渠道、PC 与移动终端的统一动态感知体系,将 AI 组件行为基线审计、沙箱 AI 载荷动态解析、终端 AI 恶意程序监测作为基础安全基础设施标配,从供应链源头切断 AI 攻击投放通道。
自动化技术防护无法完全规避人为社会工程带来的安全风险,AI 平台权限管控、动态沙箱拦截、终端行为监测、标准化安全运营、常态化 AI 安全培训缺一不可。持续迭代 AI 威胁检测基线规则、同步全域 AI 恶意行为 IOC 指标、开展多场景 AI 复合型模拟钓鱼演练,才能持续降低 AI 驱动新型网络攻击带来的数据与资金损失,保障数字化办公场景下企业云端、终端、移动端全维度信息资产安全。
编辑:芦笛(公共互联网反网络钓鱼工作组)