当你的AI助手成为攻击者的指挥与控制中心——API安全
本月早些时候,微软发现了SesameOp,这是一种新型后门恶意软件,其滥用OpenAI Assistants API作为一个隐蔽的命令与控制(C2)通道。这一发现引起了网络安全界的广泛关注。安全团队不能再只专注于端点恶意软件。攻击者正在将公共且合法的AI助手API武器化,防御者必须做出调整。
什么是SesameOp?
SesameOp是一个定制的后门恶意软件。它被设计用来维持持久性,并且关键的是,允许攻击者隐秘地管理被入侵的设备。
根据微软的说法,感染链将一个加载器组件(Netapi64.dll)与一个基于.NET的后门(OpenAIAgent.Netapi64)结合起来,并利用OpenAI API作为C2通道来获取加密的命令。
从根本上说,这意味着攻击者滥用了诸如助手描述、自定义指令和消息等字段来存储信息(包括命令),并使用SesameOp恶意软件执行它们。
然而,真正重要的是,攻击者并未利用AI服务中的漏洞;他们重新利用了一个合法的API功能。为什么这是个问题?因为这意味着一度被组织信任和依赖的合法云端AI功能,现在可能成为攻击者基础设施的一部分。这也意味着针对它们的攻击更难被检测。
使用合法服务进行C2并非新现象。此事件只是伪装成合法使用的隐蔽通信历史中的最新案例。例如,今年早些时候,Palo Alto的Unit42记录了一场使用Lambda URL进行C2的恶意软件活动。换句话说,这种模式并不新鲜,但具体的执行方式是新的。
那么,这对你的API暴露面、你的AI和智能体部署,以及你如何防御它们,意味着什么呢?
SesameOp对API风险格局意味着什么?
存在漏洞的API并非新鲜事。在2025年第三季度,Wallarm记录了1,602个与API相关的漏洞,比上一季度增加了20%,其中错误配置占38%,紧随其后的是身份验证破坏问题。更能说明问题的是:CISA KEV目录中新增条目有16%与API相关。
但现在,API攻击面变得更加复杂。组织正在部署AI助手、编排智能体和基于MCP的微服务,这创造了新的端点、流量模式和全新的信任边界,而大多数组织尚未对其进行测绘或监控。SesameOp展示了攻击者如何利用这一现实来牟利。
理解SesameOp的关键在于,攻击者并没有破坏OpenAI的Assistant AI;他们只是重新利用了它。他们将一个合法的AI端点变成了一个与合法流量融为一体的隐蔽通信通道。简而言之,该AI助手在技术层面上完全按照其应有的方式运行。
SesameOp象征着API攻击战术的更广泛转变。攻击者正从传统的代码利用转向利用合法服务和业务逻辑。他们利用云平台作为基础设施,混入典型的AI生成流量中,并利用组织对AI系统的信任。
传统的WAF和API网关并非为应对此情况而设计。它们无法解读助手指令、智能体工作流、上下文传递或MCP行为。它们无法理解API端点何时行为“异常”或被用作隐蔽通道。
防御者必须适应。他们需要具备API和AI感知能力的保护、实时阻断、深度可见性以及行为分析能力,以便检测到一个助手或智能体何时停止表现得像一个产品功能,而开始像一个攻击者的控制系统。
Wallarm如何提供帮助
那么,组织如何保护自己免受SesameOp等威胁呢?让我们探讨一下Wallarm的能力如何在SesameOp攻击的每个阶段帮助降低风险。
步骤1:测绘攻击面
SesameOp攻击者利用了一个合法的AI助手API通道。Wallarm的持续发现能力可以发现新的或意料之外的API和AI助手端点、不熟悉的凭据,或者本不应与AI服务通信的机器突然使用AI服务的情况。
步骤2:检测异常流量
尽管SesameOp C2通道看起来像是合法的AI调用,但Wallarm的行为分析和过滤节点可以检测到其他正常API流量中的异常模式。重复的轮询、异常的请求时间或未经批准的目的地会突显出来,因为Wallarm对正常行为建立基线并标记偏差,即使域名本身是合法的。
步骤3:阻断与防御
一旦后门开始使用Assistants API作为其命令循环,获取指令并发布编码结果,Wallarm的在线执行能力就可以打破这个循环。通过阻止未经授权的API调用、可疑的有效负载或非白名单的AI助手操作,Wallarm切断了通过AI端点进行的命令检索和数据外泄。
步骤4:响应与调查
如果有任何东西确实溜了进来,Wallarm详细的请求日志、元数据和集成功能为事件响应团队提供了清晰的可见性。这包括来自开发机器的不寻常助手创建调用、来自工作站的重复API轮询,以及流向AI端点的编码消息。这种上下文信息加速了遏制,并使隐蔽的C2通道更容易面对。
您现在需要做什么以及Wallarm的附加价值
SesameOp表明,合法的AI使用与滥用AI之间的界限极其模糊。防御这类新型威胁始于加强基础安全,但需要通过具备API和AI意识的视角来实现。
组织应优先考虑:
- 清点API和AI/智能体端点:不要假设每个AI助手、MCP接口或微服务都是可见的。你无法保护你看不到的东西。
- 监控入站和出站流量:公共AI端点现在可能成为C2候选目标。跟踪谁与它们通信、频率以及原因。
- 对API密钥和目的地实施严格控制:仅允许批准的密钥列入白名单。移除未使用的凭据。默认阻止未知或不受信任的目的地。
- 使用在线保护:仅靠检测无法阻止使用AI端点作为通信循环的后门。你需要能够阻断(不仅仅是警报)可疑API/智能体调用的在线保护。
- 将API/AI安全左移到SDLC中:在API定义、MCP接口、智能体权限和端点配置投入生产前进行扫描。
- 为合法到滥用的场景做准备:并非所有攻击都会涉及恶意软件。检测对正常API的滥用依赖于行为分析和异常检测。
- 选择一个支持完整技术栈的平台:Web应用、API、微服务、无服务器和AI智能体现在都是同一攻击面的一部分。你需要一个支持所有这些的平台。
但是,如何将这些基础工作操作化呢?在不需要捆绑无数独立工具且不陷入手动工作的情况下?通过与Wallarm合作。以下是我们的解决方案如何提供帮助:
| 你需要做什么 | Wallarm如何帮助 |
|---|---|
| 清点API和AI/智能体端点 | 跨环境自动发现API和AI端点 |
| 监控入站/出站流量 | 行为分析、异常检测、未批准目的地监控 |
| 控制API密钥和目的地 | 策略执行、凭据卫生状况监控、白名单功能 |
| 在线阻断可疑调用 | 实时过滤和阻断恶意或违反策略的API及智能体流量 |
| 将安全左移 | CI/CD集成、API模式扫描、生产前漏洞发现 |
| 检测合法服务滥用 | 行为基线建立,以在看似合法的流量中捕捉隐蔽C2、轮询循环、编码有效负载 |
| 全栈保护 | 为Web应用、API、微服务、无服务器和AI智能体生态系统提供统一覆盖 |
与Wallarm一起对抗不断演变的威胁
如果说SesameOp告诉了我们什么,那就是我们不能再将AI流量视为事后考虑的问题,或者假设合法服务构成安全的流量。能够保持安全的组织将是那些将API和AI/智能体安全视为一个统一问题的组织。
想了解Wallarm如何帮助您抵御不断演变的威胁吗?请预约演示。
想了解更多关于AI和API安全之间的联系吗?下载我们关于AI驱动的API安全的白皮书。