AI网络威胁令IT防御者担忧

2025年9月联想报告显示，IT防御者对AI驱动的网络攻击普遍感到担忧。仅31%的IT领导者对自身防御能力略有信心，只有10%表示高度自信。报告强调AI能使攻击不断进化以绕过防御机制，61%的受访者认为攻击性AI风险持续上升。此外，IT领导者还担忧员工使用公共AI工具以及企业快速采用AI代理所带来的“新型内部威胁”。

ChatGPT漏洞实现隐形邮件窃取

Radware研究人员发现名为“ShadowLeak”的漏洞，黑客可通过该漏洞从集成ChatGPT的邮箱用户窃取邮件。攻击方式为向受害者发送含隐藏HTML代码的邮件（使用极小或白底白字文本），当用户要求AI总结邮件时，代码会指令AI泄露数据。由于处理过程在OpenAI基础设施上进行，攻击不会在受害者网络中留下痕迹。OpenAI已于8月修复该漏洞，但具体修复细节仍未公开。

AI漏洞检测可能损害企业网络安全

前美国网络官员Rob Joyce警告，AI驱动的漏洞检测可能加剧网络安全问题。虽然XBOW等AI系统能比人类更快发现软件缺陷，但修补能力无法同步跟进，特别是在不受支持或遗留系统中。漏洞发现与修复之间的差距会带来重大风险，可能导致灾难性安全故障。Joyce还警告称，攻击者可能利用集成到企业系统中的AI代理识别高价值数据，用于勒索软件或敲诈攻击。

零信任架构需演进以应对AI攻击

随着攻击者广泛采用AI技术，秉持“从不信任，始终验证”原则的零信任架构变得至关重要。虽然网络分段等零信任原则有助于限制访问和验证身份，但必须进一步演进才能应对AI增强威胁。攻击者现使用AI提升攻击速度并制作逼真深度伪造，特别针对基于身份的安全漏洞。安全专家建议零信任架构应通过强化身份验证和维护适当网络分段来适应新威胁，尤其是在企业集成可访问敏感数据的AI代理时。