首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >从传统蠕虫到 AI Agent 驱动攻击链:自动化攻击的下一次演进

从传统蠕虫到 AI Agent 驱动攻击链:自动化攻击的下一次演进

作者头像
云鼎实验室
发布2026-07-10 21:32:47
发布2026-07-10 21:32:47
70
举报

过去,蠕虫是恶意代码自动化形态之一:一段固定程序被释放后,能够自动发现目标、利用漏洞、复制自身,并在网络中持续扩散。WannaCry 这类事件说明,自动化一旦和规模化传播结合,就会迅速放大单个漏洞的破坏力。

AI Agent 带来的新变化,并不是简单让恶意软件“接入大模型”,而是让自动化攻击开始具备目标理解、路径选择、工具生成和反馈调整能力。当前公开案例中,尚未出现形态上完全对标传统蠕虫的 AI Agent 自复制在野样本;但真实攻击链和研究原型已经显示,攻击过程正在从固定脚本执行,走向由目标反馈驱动的动态决策。

在这样的变化下,更值得提前讨论的是:当自动化攻击不只会传播,还开始会判断下一步该怎么走,未来的恶意代码会演进成什么形态?如果 Agent 驱动攻击链进一步叠加自我复制、运行环境投递和本地推理能力,蠕虫式自适应扩展就可能成为新的风险方向。

对企业而言,防御重点也需要随之变化:不能只盯住单个漏洞、样本哈希或固定 IOC,还要关注漏洞情报、资产暴露面、行为链路、工具调用、算力消耗和联动响应能力。真正需要防范的,是模型、工具、权限、网络和算力组合后形成的自动化行动能力。

传统蠕虫:工业时代的恶意自动化

传统计算机蠕虫的典型特征,是把“发现目标、检查漏洞、利用漏洞、复制自身、继续扫描”串成一条自动化传播链,并在网络中持续寻找下一个可感染目标。这里的关键不只是“能利用漏洞”,而是利用成功后能够复制自身,并在新目标上继续传播。

以 WannaCry 为例,它之所以能在短时间内造成全球影响,关键在于把漏洞利用和自我复制结合成了自动化传播能力。只要网络中存在未修补的同类漏洞,感染就会沿着可达路径持续扩散,像多米诺骨牌一样放大影响。

这个案例也说明了传统蠕虫的典型特征:传播速度极快,但路径相对固定。一旦关键漏洞被修补、传播入口被封堵,扩散能力就会明显下降。

如果把这个过程拆成能力模块,可以看到传统蠕虫主要依赖三件事:

· 固定扫描逻辑

· 固定漏洞判断

· 固定利用代码

它的优势是速度快、规模化能力强;弱点也很明确:路径固定、依赖特定漏洞或传播条件。

因此,传统蠕虫虽然破坏力强,但防御抓手相对清晰。只要关键漏洞被修补、入口被封堵、特征被识别,传播能力就会明显下降。换句话说,它更像一台高速运转的自动化机器,而不是一个会根据环境改变策略的对手。

AI Agent:AI 时代的攻击自动化

AI Agent 的出现,正在改变自动化攻击链中的一个关键环节:攻击逻辑不再一定来自预先写好的代码,而可能在运行过程中根据目标反馈动态生成。

更深层的变化不只是“攻击流程多了一个模型”,而是恶意自动化的能力来源发生了变化:传统蠕虫主要依赖预先写入的 exploit 和传播逻辑,而 Agent 驱动攻击链则可能在运行过程中把环境信息转化为新的行动策略。前者放大的是传播速度,后者放大的则是适应性。

传统蠕虫面对目标时,核心问题是:目标是否符合预设利用条件。Agent 驱动攻击链面对目标时,则更像是在围绕目标环境、系统特征、当前上下文、路径可行性和反馈结果进行动态判断。

这种差异可以用下图概括:

在这种模式下,恶意软件的能力边界不再只由“代码里写了什么”决定,还会受到模型能力、上下文信息、工具权限、主机资源和网络可达性的共同影响。

类似的风险在 GenAI 应用中已经有研究型演示。Morris II 展示了一种生成式 AI 生态中的自传播可能:当 AI 邮件助手、RAG 应用或自动化 Agent 会读取外部内容,并把处理结果继续传递给其他系统时,恶意内容可能不再只是一次性输入,而是变成能够被模型读取、解释、转发并继续影响下游系统的传播载体。

Morris II 虽不是公开确认的大规模真实攻击,也不是传统意义上的自复制恶意程序,但它提醒我们:当模型具备读取、生成和转发能力时,“内容”本身也可能成为传播链的一部分。如果说 Morris II 展示的是“内容如何在 GenAI 应用中传播”,那么 AI Agent 自适应蠕虫研究进一步值得关注的地方在于:当 Agent 不只是处理内容,而是能够观察环境、调用工具、根据反馈调整行动时,风险就可能从“内容传播”走向“行动传播”。

从固定 exploit 到 Agent 驱动攻击链

传统蠕虫依赖固定 exploit 和传播逻辑,行为路径相对稳定;当前真实可见的 Agent 化攻击链,更大的变化在于攻击过程可能根据不同目标选择不同路径。

也就是说,它不一定只盯着一个漏洞,而是根据观察到的环境差异,动态决定下一步动作。但需要强调的是,这类能力目前更多体现为“攻击链自动化”,还不是完整的“自我复制型蠕虫”。

如果把传统蠕虫拆成能力模块,可以更清楚地看到 AI Agent 正在增强哪些环节、哪些环节仍未补齐:

因此,防御方不能只依赖固定 IOC、样本哈希或命令序列,还需要关注连续行为链路:系统为什么被持续观察、工具为什么被调用、网络连接为什么被建立,以及算力资源为什么异常消耗。

整体来看,传统蠕虫的核心特征是“自动化传播 + 固定利用逻辑”;AI Agent 型威胁的核心变化则是“自动化传播 + 动态策略选择”。前者更容易通过补丁、规则和边界阻断压制,后者则要求防御方同时关注行为链路、权限边界和资源异常。

真实攻击案例:从工具执行到目标反馈驱动

如果说 Morris II 和 AI Agent 自适应蠕虫研究更多展示了实验层面的可行性,那么真实攻击现场已经开始出现 Agent 化攻击链的痕迹。腾讯云鼎实验室近期披露的多个案例显示,攻击链中已经出现由 LLM 参与生成的解释、代码、试错和路径切换;过去由攻击者在本地完成的分析、试错和路径选择,开始以命令注释、临时代码、调试脚本等形式,出现在受害侧环境中。

这些案例的价值,不在于它们已经形成传统意义上的自复制蠕虫,而在于它们展示了攻击链中“观察—判断—试错—行动”的 Agent 化趋势。它们的共同点,不是“请求更多”或“扫描更快”,而是攻击过程开始呈现出目标反馈驱动的特征:目标返回什么信息,Agent 就基于这些信息判断目标环境、生成候选路径、验证前提条件,并决定下一步动作。

这些案例说明,Agent 化攻击的变化,不只是某个漏洞利用动作变得更复杂,而是观察、解释、试错和工具生成被接入了执行循环。防御方也需要从“看见攻击命令”进一步走向“理解攻击为什么这样推进”。

从 Agent 化攻击链到自适应扩展的关键条件

当前真实案例还没有进入“自我复制”阶段,但它们已经补上了传统蠕虫较弱的部分:目标理解、路径选择、工具生成和反馈调整。如果严格按照传统计算机蠕虫的定义来看,它们尚未形成自动复制自身、投递运行环境并在新节点继续自主传播的完整闭环。

如果这类攻击链进一步走向蠕虫式自适应扩展,还需要补齐几个关键条件:能够将自身运行环境、轻量模型或必要组件投递到新节点;能够在新节点本地完成推理,或调用可用模型服务继续决策;能够自动复制必要工具链;并在新环境中继续扫描、利用和扩展。也就是说,当前缺失的不是“利用漏洞”的能力,而是“复制自身并持续传播”的闭环能力。

因此,本文更关注的是一种趋势:AI Agent 正在补齐传统自动化攻击中原本依赖人工完成的观察、判断和路径选择能力。自我复制目前还没有公开在野案例,但从攻击者动机和技术演进看,它值得提前纳入防御视野。

从攻击者演进看,恶意自动化的驱动力也在变化:早期很多恶意代码带有炫技色彩,而今天更多攻击活动已经转向明确的经济收益。是否引入自我复制能力,未必只是技术问题,也可能取决于攻击者对收益、隐蔽性、控制成本和暴露风险的权衡。

被忽视的关键变量:算力也可能被攻击者用作资源

AI Agent 型威胁还有一个值得关注的点:它不仅需要网络入口和执行权限,还需要推理资源。

如果攻击者依赖商业模型 API,那么平台侧可以通过账号封禁、内容安全策略、调用审计、限流等方式施加约束。

但如果恶意系统使用开放权重模型,并利用被攻陷机器的 CPU/GPU 资源运行推理,那么中心化模型平台就不再是唯一控制点。

这会带来新的成本结构不对称:攻击者感染更多机器后,可能获得更多算力来支撑后续推理和扩展;防御者却需要对每个受影响节点进行检测、隔离、取证、修复和恢复。

这意味着防御方不能只按“单次攻击请求”来理解成本。Agent 驱动攻击链的成本可能随着受控节点规模扩大而被摊薄,而防御成本却会随着受影响节点数量上升。这种成本曲线的不对称,是它比传统自动化攻击更值得警惕的地方。

因此,未来安全监控中,“异常算力消耗”可能会像“异常网络连接”一样重要。

安全检测的重心需要改变

传统检测体系擅长识别已知恶意模式:

· 已知漏洞利用特征

· 已知恶意样本哈希

· 已知 C2 通信特征

· 已知 IOC

· 已知命令序列

· 已知横向移动工具

但 AI Agent 型威胁更强调动态组合能力。它可能把多个看似普通的动作组合成一条新的攻击路径。

很多检测规则默认攻击行为具有可重复性:同一类恶意软件往往复用相似命令、相似流量、相似文件结构。但 Agent 型威胁的问题在于,它可能把“目标环境”也纳入决策变量。同一个攻击系统在不同网络中表现不同,检测难度不再只来自未知样本,而来自行为路径本身的可变性。

因此,检测重心需要从“单点特征”扩展到“行为意图”。过去更关注文件、IP、命令是否命中规则;未来还要关注进程为何持续收集环境信息、账号为何访问不相关资产、主机为何突然运行大模型推理,以及自动化流程为何跨越原有业务边界。

可以用一张图说明检测视角变化:

因此,面对 Agent 型威胁,检测和响应需要围绕三类线索展开:

这并不是说 IOC 不再重要,而是说 IOC 只能覆盖已知部分。面对具备策略生成能力的威胁,企业需要把已知特征检测,与行为链路、权限边界和资源异常这三类线索结合起来。

企业安全治理建议

//更严格的最小权限

AI Agent 型威胁一旦获得过大的权限,就可能把推理能力转化为行动能力。

因此,最小权限不再只是合规要求,而是限制自主威胁扩展能力的关键手段。

重点包括:

· 服务账号权限收敛

· 凭据分区存放

· 管理权限按需授予

· 高危操作强审批

· 横向访问默认拒绝

//更细粒度的网络分段

扁平网络会放大自动化攻击链的横向扩展能力。在网络边界清晰但内部访问关系过于宽松的环境中,一旦某个节点被攻陷,攻击者或 Agent 驱动流程就可能沿着内部互通关系继续访问更多主机、服务和管理接口,传播和扩展路径会被显著拉长。

网络分段、微隔离、出站访问控制和内部横向流量检测的价值,就在于压缩这种扩展空间:让不同业务区、办公区、开发区、生产区之间默认不可随意互访;让异常连接、异常扫描和跨区访问更容易被发现;让单点失陷不至于演变成大范围横向扩展。

//Agent 工具调用治理

如果企业内部大量使用 AI Agent,就必须对 Agent 的身份、工具权限、调用审计、高危动作审批、资源预算和异常熔断建立治理机制。

核心原则是:Agent 可以自动化,但不能无边界地自动化。

//主机侧模型执行监控

随着开放权重模型和本地推理框架普及,企业需要知道哪些主机在运行模型、由谁运行、为何运行、消耗了多少资源。

建议关注:

· 非授权模型文件出现

· 异常 CPU/GPU 占用

· 非业务进程执行推理任务

· 推理进程与异常网络连接同时出现

· 自动化脚本长时间驱动模型运行

· 模型执行与敏感资产访问耦合

//行为链路级响应

面对动态生成型威胁,不能只处置单个告警,而要把终端、身份、工具调用、网络访问和算力使用串联起来分析。一旦确认存在异常扩展迹象,响应动作也应同步覆盖账号、主机、网络路径和执行环境。

//漏洞影响面与纵深防御

在 Agent 驱动攻击链中,漏洞不只是一个待修复缺陷,更可能成为自动化攻击链的初始入口、权限跳板或横向扩展节点。与传统蠕虫常依赖固定漏洞不同,Agent 驱动流程可能结合目标反馈,在暴露资产、配置缺陷、权限边界和网络可达路径之间动态选择可利用入口。

因此,漏洞治理不能只看 CVSS 分数,还要结合资产暴露面、业务重要性、是否存在可利用路径、是否已出现在真实攻击或漏洞情报中,判断哪些漏洞最可能被用于攻击链推进。

在这一过程中,漏洞情报不只是漏洞列表,而是入口优先级判断的基础。企业可以通过 腾讯威胁情报中心(TIX) 对 IP、域名、文件 Hash 等对象进行基础情报查询与威胁研判;结合 攻击面管理(ASM) 从攻击者视角持续测绘企业互联网暴露面,发现影子资产、违规资产和未知暴露面;再通过 漏洞扫描服务(VSS) 对网络设备和应用服务开展定期扫描、风险发现与持续预警。

在漏洞优先级排序和闭环治理方面,腾讯漏洞情报 可帮助企业跟踪当前威胁、高危漏洞和已利用漏洞;漏洞治理服务(VGS) 则可结合漏洞情报、资产暴露面和业务影响,帮助企业判断哪些漏洞更可能被利用、哪些资产更值得优先修复。这样,企业的防护链路就可以从“发现漏洞”进一步走向“攻击面识别—优先级判断—修复处置—持续监测”的闭环。

从防护方案落地角度看,企业可以把漏洞情报、攻击面管理、资产测绘、身份治理、终端检测、网络检测和自动化响应串成一条防御链路:用漏洞情报判断入口优先级,用资产和攻击面管理确认影响范围,用身份与权限治理限制行动半径,用终端与网络检测发现异常行为,最后通过自动化响应完成隔离和闭环。

//优先级与落地路径

这些能力不需要一次性全部重建,更现实的做法是分阶段推进:

总体上,企业可以先从“看得见、排得准、管得住、断得开”四件事入手:先摸清 Agent、自动化工具和关键资产的真实权限边界,再结合漏洞情报判断修复优先级,随后收敛高风险访问,最后为关键动作建立审计、限额和熔断机制。

AI 安全不再只是模型安全

很多人谈 AI 安全时,首先想到的是:

· 模型是否幻觉

· 模型是否泄露隐私

· 模型是否容易被越狱

· 模型是否输出危险内容

这些问题当然重要,但 Agent 时代的安全边界已经扩大。

Agent 安全的关键,不在于模型本身是否“危险”,而在于模型一旦接入工具、权限和业务系统,就会具备影响真实环境的行动能力。攻击者如果滥用或劫持这条执行链,就可能把原本需要人工完成的分析、调用、验证和处置动作自动化。

真正需要关注的是:模型 + 工具 + 权限 + 网络 + 算力 + 自动化闭环。 一旦模型输出可以驱动真实工具执行,AI 安全就从“内容安全”扩展为“系统安全”。

结语:真正的风险是“被赋权的自动化”

AI Agent 带来的安全挑战,不只是模型会回答什么,而是模型被接入工具、权限和系统之后,会自动做什么。

传统蠕虫代表的是自动化传播;AI Agent 型威胁则把自动化传播与自动化决策结合在一起。所谓“从固定代码到自主决策”,本质上就是恶意软件的关键能力从预设逻辑,转向基于环境反馈的动态行动选择。它提醒我们,未来的防御能力不仅要识别已知恶意代码,还要约束未知自动化行为。

在 AI Agent 时代,真正危险的不是单独的模型,而是具备权限、工具、资源和自主闭环的模型系统。

AI Agent 的价值来自自动化,风险也来自自动化。未来的安全边界,不只在防火墙和终端上,也在每一个被赋予工具、权限和自主决策能力的 Agent 身上。

参考资料

1.Jonas Guan, Tom Blanchard, Hanna Foerster, Hengrui Jia, Gabriel Huang, Nicolas Papernot. AI Agents Enable Adaptive Computer Worms. arXiv:2606.03811, 2026. https://arxiv.org/abs/2606.03811

2.Stav Cohen, Ron Bitton, Ben Nassi. Here Comes The AI Worm: Unleashing Zero-click Worms that Target GenAI-Powered Applications. arXiv:2403.02817, 2024/2025. https://arxiv.org/abs/2403.02817

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-07-08,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 云鼎实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档