1、以邻居为跳板实现越洋攻击

2024年11月，网络安全公司Volexity曝光了一起令人震惊的网络攻击事件，俄罗斯黑客组织APT28成功突破物理攻击范围，入侵了万里之外的一家美国企业的Wi-Fi网络。

据报道，2022年2月，美国首都华盛顿一家企业的WiFi网络被发现遭遇了极不寻常的攻击，这次攻击被归因于俄罗斯国家黑客组织APT28（亦称Fancy Bear/Forest Blizzard/Sofacy），后者通过一种名为“近邻攻击”的新技术，远程入侵了该美国企业的WiFi网络。此次事件暴露了企业WiFi网络被忽视的致命盲区和漏洞，同时也展现了APT28不断创新的攻击方式。

以下是APT28组织，从“邻居”到目标的跳板式入侵攻击过程。

步骤 1：WiFi网络的密码喷射攻击

APT28首先通过对目标企业暴露在互联网的服务进行密码喷射攻击，获取了该企业WiFi网络的访问凭证。然而，由于企业实施了多因素认证（MFA），攻击者无法通过公共网络直接利用这些凭证访问目标网络。

步骤 2：寻找“邻居”作为跳板

远隔万里“蹭网”显然存在难以逾越的物理距离问题，APT28采取了一种创造性策略。他们瞄准了目标企业附近建筑内的其他企业，通过渗透这些企业的网络设备进行跳板式入侵。黑客寻找具有“双网连接”能力的设备（例如同时连接有线和无线网络的笔记本电脑或路由器），以利用其无线网卡连接到目标企业的WiFi网络。

步骤3：跳板攻击与渗透

Volexity的调查显示，APT28成功入侵了多个邻近组织，并最终找到了一个设备，该设备能够接入目标企业会议室附近的三个无线接入点（AP）。攻击者通过远程桌面连接（RDP）使用非特权账户进入目标网络，逐步扩展其权限，最终能够访问关键系统并提取敏感数据。

APT28的“邻居攻击”颠覆了传统近距离物理攻击的概念，通常近距离物理攻击要求攻击者在目标附近，例如停车场等场所。但此次事件表明，通过利用跳板式策略，攻击者能够在远程位置发动物理攻击，同时规避被物理追踪和识别的风险。

2、以电梯SCADA为跳板入侵系统

2024年7月，俄罗斯一家专业开发电梯自动化管理和调度系统的公司Tekon-Avtomatika遭受了东欧黑客组织Lifting Zmiy的网络攻击。攻击者利用SCADA系统中控制器的安全漏洞，将服务器迁移到被黑设备上，进而对其他目标发起攻击。尽管黑客没有直接影响电梯运行，但这也暴露了潜在的安全风险。受影响的组织包括政府部门、IT公司和电信企业等。网络安全工作者将这批黑客戏称为“电梯人”。

安全专家指出，黑客主要目的是使检测和发现其活动变得更复杂。此前在2022年，Tekon-Avtomatika系统的漏洞已被发现，制造商虽采取措施提高安全性，但一些用户未更新设备安全设置，留下了安全隐患。专家建议相关组织加强IT基础设施安全，包括更新密码策略和引入双因素身份验证。

1、RAMBO侧信道攻击

2024年9月，以色列大学的研究团队公布了一种名为“RAMBO”（Radiation of Air-gapped Memory Bus for Offense）的新型侧信道攻击方法。利用物理隔离系统中的内存组件生成电磁辐射进行数据泄露。这种突破性的攻击方式再次引发了人们对所谓高安全性环境（例如物理隔离系统）的担忧。

物理隔离系统通常应用于政府机构、武器系统、核电站等高安全需求的关键任务环境中。这些系统与公共互联网及其他网络隔离，旨在避免恶意软件感染及数据盗窃。然而，尽管物理隔离，恶意软件仍可通过诸如U盘等物理媒介，或国家级攻击中的供应链漏洞，渗透到这些系统中。

RAMBO攻击便是利用这些恶意软件，通过操控系统内存总线的读写操作，生成受控的电磁辐射，并将数据传输至附近的接收设备。这种攻击方式不仅隐蔽，还难以被传统的安全产品检测或阻止。

RAMBO攻击的核心在于利用恶意软件在物理隔离系统中收集敏感数据，并通过操控内存访问模式，生成电磁辐射来实现数据传输。

这些电磁辐射信号被恶意软件通过开关键控（OOK）技术进行快速切换，进而形成“1”和“0”的二进制编码。该过程不会受到安全产品的主动监控，也无法被标记或停止。

研究人员还使用曼彻斯特编码来提升误差检测能力，确保信号同步，从而减少接收端错误解读的可能性。

攻击者可以使用低成本的软件定义无线电（SDR）设备和天线，截取这些调制过的电磁信号，并将其转换回二进制信息。这种方式不仅成本较低，还可以实现相对高效的数据窃取。

RAMBO攻击的最高数据传输速率为1000bps，相当于每秒128字节，或0.125 KB/s。虽然这一速率不高，但足以窃取少量敏感数据，如文本、键盘记录和小型文件。例如，窃取一个密码仅需0.1到1.28秒，而窃取一个4096位的RSA密钥则需4到42秒。

在实验中，RAMBO的传输范围最远可达7米，传输距离越远，数据传输速率越慢。然而，当速率超过5000 bps时，信噪比迅速下降，数据传输的有效性也大幅减弱。

2、利用U盘窃取隔离网数据

2024年10月，欧洲安全厂商ESET的报告，披露了APT组织GoldenJackal利用U盘窃取隔离网数据的方法。该组织使用两套自定义工具集窃取了大量敏感数据，包括电子邮件、加密密钥、图像、档案以及文件。

根据ESET的报告，至少有两波重大事件与该组织有关。第一波发生在2019年9月和2021年7月，目标是某南亚国家驻白俄罗斯大使馆。第二波事件针对的是一个欧洲政府机构，具体发生在2022年5月至2024年3月之间。

GoldenDealer的攻击过程是这样的：

首先，GoldenDealer会感染一些与互联网相连的系统，GoldenDealer会监控这些系统上插入的USB驱动器。一旦检测到USB插入，它会自动将自身及其他恶意组件复制到USB设备上。

当同一USB设备被插入隔离网计算机时，GoldenDealer就能够在隔离系统上安装“GoldenHowl”后门和“GoldenRobo”文件窃取器。在此阶段，GoldenRobo会扫描系统中的文档、图像、证书、加密密钥、档案、OpenVPN配置文件等有价值的信息，并将其存储在USB驱动器的隐藏目录中。

随后，当USB驱动器从隔离网计算机中移除，并重新连接到原先联网的系统时，GoldenDealer会自动将存储在驱动器上的窃取数据发送到控制服务器。

“GoldenHowl”是一种多功能的Python后门，具备文件窃取、持久性维持、漏洞扫描以及直接与C2服务器通信的能力。ESET表示，这款工具似乎专为联网的机器设计。

1、WiFi识别与爆破武器

2024年9月，美国军方证实，美国陆军特种部队（又名绿色贝雷帽）在5月举行的“快速反应24”军事演习中首次展示了在前线阵地使用攻击性网络安全工具的能力。

在瑞典Skillingaryd地区举行的“快速响应24”是北约近年来规模最大的一场军事演习，超过1.7万名美国军人和2.3万名多国军人参加。期间美军特种作战小队首次与颠覆性网络安全技术进行了深度融合训练。

在此次演习中，美军特种作战小队成功使用远程访问设备（RAD）扫描了目标建筑，以识别运行其安全系统的WiFi网络。

特战小队随后破解了WiFi密码，随后对内部网络进行了详细分析，团队在网络中四处移动，关闭摄像头，打开安全门，并禁用其他安全系统。

与此同时，另一支特种作战小队则进行了物理渗透行动。通过高空跳伞，并徒步七英里，他们顺利接近目标建筑。由于前一支小队的网络干扰，他们能够轻松进入大楼，并安放信号干扰设备，以清除行动痕迹，随后迅速撤离。

一位特种部队成员解释称：“我们现在可以通过信号设备接入目标的WiFi网络，监控目标的位置和活动。” “RAD是一种非常实用的工具，它为我们提供了额外的信息视角，让我们能够更清晰地掌握目标情况。”

2、红队去特征化隐蔽技术

2022年10月，美国国防高级研究计划局（DARPA，Defense Advanced Research Projects Agency）提出了一项名为SMOKE（烟雾）的计划，预计到2025年，累计投入约5706万美元。

SMOKE 项目的全称是“基于运作知识与运作环境的特征管理”。其主要设计技术要求有两个：一是自动构建攻击用网络基础设施（TA1），旨在通过自动化工具和方法，提高网络安全评估效率和有效性；二是发现和生成网络基础设施签名（TA2），旨在减少网络基础设施的可归因特征，以维持红队的隐蔽性。

此两项任务均属网络安全自动化和归因管理的前沿研究，两者互相支持、互相关联。如果将SOMKE项目的目标描述为“像敌人一样思考和行动”，那么TA1的目标是“了解和复现敌人是如何做的”，TA2的目标则是“模拟并超越敌人”。

自动构建攻击用的网络基础设施（TA1）的重点是建模一种创新的、数据驱动的网络基础设施威胁模拟计划，旨在按照网络安全评估的要求，利用数据驱动下的创新工具来自动规划、构建和部署与真实黑客组织相近的进攻性网络基础设施。

发现和生成基础设施签名（TA2）的重点是开发网络特征生成技术，以生成对手网络特征，为网络安全评估过程中进攻性网络基础设施的自动化工作提供信息。

1、操控驾校车载设备作弊

以下案例来自公安部“净网行动”2024年9月发布的相关信息。

2023年5月，郯城县某驾校报案称，其“驾考培训车载计时终端”被人非法安装设备、植入程序，严重扰乱驾考秩序。经查，犯罪嫌疑人刘某某、张某某等人注册公司，利用机动车培训车载计时终端设备软、硬件漏洞，生产“视频照片机”，破解虚拟定位程序，采取虚假打卡、虚构里程等方式在学员登录登出、培训学时管理等环节帮助驾校教练培训造假，并将相关设备、程序向外地出售。

2023年8月，郯城县公安机关组织开展集中收网，抓获犯罪嫌疑人8名，缴获作案工具1100余套，查处作弊驾校30个、教练员70余名，涉案金额100余万元。近日，王某等人分别被人民法院依法判处有期徒刑。

2、入侵小区门禁系统作弊

以下案例来自公安部“净网行动”2024年9月发布的相关信息。

2024年1月，费县公安机关在工作中发现，汲某某在使用笔记本电脑连接居民小区门禁的摄像头调试网线口后，通过“停车场道闸门禁车辆管理”软件非法录入业主车辆牌照，帮助无停车位业主违规开车进入小区。

经查，陈某某在社交软件售卖“停车场道闸门禁车辆管理”软件，汲某某购买后，通过社交软件引流，吸引不想付费租车位的小区业主，并实施非法入侵小区车辆系统活动。目前，费县公安机关依法对非法入侵计算机信息系统的汲某某予以行政处罚，对陈某某追究刑事责任。

3、篡改火车站共同WiFi页面

2024年9月25日晚，伦敦尤斯顿站、曼彻斯特皮卡迪利站和伯明翰新街站等19座车站停止了WiFi服务，到次日仍未恢复。

据《曼彻斯特晚报》报道，有乘客在皮卡迪利站连接WiFi时，被引导到一个标题为“我们爱你，欧洲”的网页。该网页包含了反伊斯兰的信息以及关于英国和欧洲几起恐怖袭击的详细内容。

26日晚些时候，英国交通警察局表示，一名受雇于Global Reach的男子已因涉嫌违反《1990年计算机滥用法》被捕，并根据《1988年恶意通信法》被指控。Global Reach是为英国铁路WiFi网络提供登录页面服务的供应商。从目前已公开的信息分析，很有可能是这位网络服务供应商内部员工擅自修改了页面信息。

1、利用超级漏洞实施降级攻击

2024年8月，在知名网络安全会议Black Hat 2024上，安全研究员Alon Leviev曝光了一个微软Windows操作系统的“超级漏洞”，该漏洞使得攻击者可以利用微软更新进程实施降级攻击，“复活”数以千计的微软Windows漏洞，即便是打满补丁的Windows11设备也将变得千疮百孔，脆弱不堪。

在与微软协调后，Leviev在黑帽大会上公布了Windows降级攻击技术Windows Downdate的细节，这是一种可以操纵Windows Update更新进程的技术，使得恶意行为者能够将系统关键组件降级，进而使安全补丁失效。把微软的更新服务变成“超级木马”。

 “我发现了一些漏洞，可用于开发Windows Downdate工具，以接管Windows Update进程，制造完全不可检测、隐形、持久且不可逆转的关键操作系统组件降级，”Leviev在其研究报告中说道。

 “我能够让一台完全修补过的Windows机器受到过去存在的数千个漏洞的攻击，将已修复的漏洞变成零日漏洞，并让世界上任何一台Windows机器上的‘完全修补’一词都变得毫无意义。”Leviev总结道。

此次漏洞的发现引发了广泛关注。Everest Group的高级分析师Arjun Chauhan指出，虽然微软尚未观测到此类降级攻击在野外发生，但SafeBreach团队在六个月前报告漏洞后，微软仍未提供可靠解决方案，这引发了业界对微软响应能力的担忧。

降级攻击又称版本回滚攻击，是一种通过将软件恢复到旧版本，从而利用已修复漏洞的网络攻击。Chauhan指出，此类攻击可能对严重依赖Windows环境的企业和机构产生深远影响。“这些攻击可以逆转安全补丁，使系统重新暴露于先前已经修复的漏洞，增加数据泄露、未经授权访问和敏感信息丢失的风险。”

此外，降级攻击可能通过破坏关键基础设施而中断运营，导致停机和经济损失。金融服务、医疗、政府和公共部门等具有严格合规要求的行业尤其脆弱。一旦这些行业遭受成功的降级攻击，可能会导致合规处罚，品牌和客户信任也将蒙受巨大损失。

Leviev表示，降级攻击的威胁不仅限于Windows系统，且难以被标准的端点安全或EDR工具检测到，业界需要对操作系统降级攻击进行广泛关注和研究。

2024年2月，由杜克大学电气与计算机工程学迪金森家族副教授Miroslav Pajic与助理教授Tingjun Chen领导的工程师团队展示了他们研发的“疯狂雷达”（MadRadar）系统。这一系统可以欺骗汽车雷达传感器，让它们相信几乎任何事情都是可能的。

这项技术可以隐藏正在靠近的车辆、制造不存在的幻影车，甚至让雷达相信真实的车辆在快速偏离实际路线。而且，欺骗可以在眨眼之间完成，无需事先了解受害车辆雷达的具体设置。因此，这项技术成为迄今为止对雷达安全性最棘手的威胁。

3、 劫持供应商权限威胁学校

2024年3月，以色列安全公司Op Innovate披露，一个名为Lord Nemesis（复仇女神，又名Nemesis Kitten）的伊朗黑客组织，针对以色列的学术软件公司Rashim Software发动攻击，并在活动该公司基础设施访问权限后，向该公司的客户，即众多以色列大学和学术机构发起了进一步的攻击以窃取数据。

Lord Nemesis称，他们成功获得了对Rashim基础设施的完全访问权限，并利用此访问权限向Rashim的200多名客户和同事发送了电子邮件。该组织声称在此次攻击中获得了大量敏感数据信息，他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。

Op Innovate发现，Rashim至少在部分客户的系统上保留了管理员用户帐户。“通过劫持此管理员帐户，攻击者能够访问该公司众多客户组织，这可能会损害这些机构的安全并使其数据面临风险 ”。

3月4日，Lord Nemesis利用其对Rashim内部Office365基础设施的访问权限，通过该公司的电子邮件帐户向该软件公司的客户、同事和合作伙伴发送一条消息，宣布其“拥有对Rashim基础设施的完全访问权限”。此举意志在向受害者展示他的访问范围并灌输恐惧。

伊朗的黑客活动分子分别上传了视频，据称记录了他们如何从Rashim数据库中删除分支。他们还泄露了Rashim首席执行官的个人视频和图片，显然是为了骚扰和恐吓该公司。

1、基于大模型计算框架的攻击

大模型的应用无疑为攻击者开辟了一片全新的天地。特别是大模型的训练框架，往往不可避免的会与开放网络之间进行交互，并允许训练参与者发布命令、参数或填充数据。而这也就位攻击者提供了全新的，半开放式的攻击路径。

2024年3月，OpenAI、优步和亚马逊所使用的AI计算框架Ray发现了一个已被报告的安全漏洞。在过去的7个月间，该漏洞遭到持续攻击，导致AI模型被篡改，数千台存储AI工作负载和网络凭证的服务器被黑。此外，攻击者还在能够提供大量算力的、被侵入的基础设施上安装了加密货币挖矿软件，并设置了反向Shell，实现对服务器的远程控制。

Ray是一个用于扩展AI应用程序的开源框架，允许大量应用程序同时在大规模服务器集群上高校运行。该框架允许用户通过简单的HTTP请求向集群发送一系列命令，无需身份验证。

2023年，安全公司Bishop Fox的研究人员将这种行为标记为危急级别的代码执行漏洞，其跟踪编号为CVE-2023-48022。而Ray的开发者和维护者Anyscale回应称该漏洞不存在。Anyscale官方表示，他们一直将Ray视为一个远程执行代码的框架，因此始终建议将Ray合理地隔离在有适当安全措施的网络内部。也就是说，Anyscale官方在设计Ray时，就是假定其应该运行在“安全的环境”中，所以没有在框架中充分考虑安全性。但Ray的实际运行环境往往并不安全。

发现本次攻击事件的安全公司Oligo的研究人员在一篇文章中指出：“一旦攻击者掌控Ray生产集群，等于中了大奖。有价值的公司数据加上远程代码执行，攻击者很容易就能获得现金收益，而且可以完全隐匿在暗处，做到神不知鬼不觉。”

2、利用大模型传播的恶意程序

2024年3月， JFrog安全团队监控发现，Hugging Face平台上的某些机器学习模型可能被用于对用户环境进行攻击。这些恶意的模型在加载时会导致代码执行，给攻击者提供了在受感染机器上获得完整控制的能力，实现基于开源模型的后门植入。

这些机器学习模型的潜在威胁包括直接的代码执行，这意味着恶意攻击者可以在加载或使用模型的机器上运行任意代码，可能导致数据泄露、系统损坏或其他恶意行为。随着Hugging Face和Tensorflow Hub这类开源模型社区的兴起，恶意攻击者已经在研究利用此类模型部署恶意软件。

本次报告发现在Hugging Face平台上至少有100多个恶意的AI ML模型实例，其中以baller423/goober2为代表的模型可在受害者的机器上直接执行代码，并为攻击者提供持久化的后门访问权限。（下图为恶意模型中发现有效攻击载荷的分类情况）

3、针对大语言模型的语音攻击

2024年5月，亚马逊（AWS）的研究人员发布了一项新研究，揭示了能够理解和回应语音的多模态大语言模型存在重大安全漏洞。该论文题为《SpeechGuard：探索多模态大语言模型的对抗鲁棒性》，详细描述了这些AI系统如何被精心设计的音频攻击操控，进而生成有害、危险或不道德的响应。

AWS的研究人员发现，即使内置了安全检查，语音大模型在“对抗性攻击”面前表现得极为脆弱。这些攻击通过对音频输入进行人类难以察觉的微小篡改，就能完全改变大模型的行为，从而实现“越狱”。

通过一种名为投影梯度下降（PGD）的方法，研究人员能够生成对抗性样本，成功使语音大模型输出了12个不同类型的有害内容，包括暴力内容和仇恨言论。令人震惊的是，在能够完全访问模型的情况下，研究者突破模型安全壁垒的成功率高达90%。

更令人担忧的是，研究显示，在一个语音大模型上设计的音频攻击往往可复用到其他模型，即使没有直接访问权限（这是一个现实的场景，因为大多数商业大模型提供商仅允许有限的API访问）。虽然黑盒攻击的成功率下降到10%，但这仍然是一个严重的漏洞。

1、使用AI发起自动攻击

2024年4月，美国伊利诺伊大学厄巴纳-香槟分校（UIUC）的四位计算机科学家在一篇新发布的论文中指出，只需提供描述漏洞的CVE公告，OpenAI的GPT-4大语言模型便可以成功地利用现实世界真实存在的安全漏洞。

研究过程收集了15个1day漏洞（已披露但尚未修补的漏洞），当向GPT-4提供相关CVE描述时，GPT-4能够自动检索相关数据和补丁代码，并成功利用这些漏洞之中13个（87%）。而其他测试的模型（如GPT-3.5、一些开源LLMs和专门设计的漏洞扫描器）则无法利用任何漏洞。

实时上，有很多研究者早已开始研究利用AI自动发起网络攻击的可行性。比较公认的应用方向有两个：一个是智能漏洞扫描，一个是智能感染策略。

智能漏洞扫描：AI可以用于自动化漏洞扫描和发现过程。通过使用机器学习技术，攻击者可以更快地找到潜在的漏洞并利用它们发起攻击

智能感染策略：AI可以帮助恶意软件更精确地选择感染目标。通过分析网络流量、操作系统和已安装的软件等信息，AI可以确定最容易感染的目标。

2、利用AI制造勒索软件

日本东京都警视厅于5月27日逮捕了一名男子，该男子涉嫌使用生成式人工智能制造计算机病毒，可能对企业构成勒索软件威胁。

据东京警方称，25岁的Ryuki Hayashi是一名居住在神奈川县川崎市的失业男子，他本身并不具备信息技术相关的专业知识和从业背景。他是于2023年3月使用家用电脑和智能手机访问了互联网上公开的多个免费AI程序，并借助这些程序构建了勒索软件源代码。这种计算机病毒能够加密攻击对象所拥有的数据，从而以解密数据作为要挟进一步实施敲诈勒索。

该男子已向警方供认全部犯罪事实，他告诉调查人员——“我认为生成式AI可以做任何事情”、“我想制造勒索软件来威胁公司并要求赎金”。警方表示，他制造的病毒确实具备加密目标数据和要求赎金的功能，但目前尚未收到任何该病毒造成的损害报告。

3、利用AI制造虚假音频

2024年8月，合肥警方通报，网传“三只羊”卢某某的酒后言论系AI工具伪造。涉案嫌疑人用以伪造卢某某言论的AI声音克隆平台为“Reecho睿声”。该平台由一位00后创业者开设，2024年2月正式上线。

涉案卢某某言论的流传，正值MCN公司“三只羊”陷入直播带货虚假宣传“香港美诚月饼”的舆论漩涡。在网络流传的录音中，卢某某对“三只羊”处理客诉问题、竞争对手等发表了相关看法，还提及“与三只羊女主播之间的不正当关系”。录音引发热议后，多位被提及的主播公开辟谣。

9月26日晚间，官方证实涉案卢某某录音不实。合肥市公安局高新分局通报称，已将犯罪嫌疑人王某某（男，25岁）抓获，并在其电脑、手机和制作AI音频的网站中发现伪造相关音视频的证据；结合其供述、调查取证，并经部、省专业机构检验鉴定，认定报案所涉网传音视频系伪造。

据通报描述，现已查明，9月16日，王某某利用从互联网下载的音视频资料，杜撰卢某某酒后言论脚本，先使用AI工具训练生成假冒卢某某的音频，后用视频软件合成音视频，其中出现的女声也系AI工具训练生成。王某某通过网络发布音视频，形成谣言大量传播。目前，王某某已被依法采取刑事强制措施，案件正在进一步侦办中。

4、利用AI攻击工控系统

2024年10月，Open AI发布报告称，伊朗黑客组织CyberAv3ngers利用人工智能模型ChatGPT，策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。

报告认为，CyberAv3ngers利用AI工具进行侦察、编码和漏洞研究，寻找默认密码，编写bash和Python脚本，增强攻击能力。主要攻击目标是攻击以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。美国国务院已确定六名参与攻击美国水务公司的伊朗黑客，并提供线索奖励。

5、使用AI干预国家政治

2024年初，孟加拉大选已深受AI深伪虚假信息影响，尤其体现在现任总理谢赫·哈西娜和反对党孟加拉国民党之间的激烈斗争中。

几个月来，孟国内亲政府新闻媒体与意见领袖一直在大肆宣发由人工智能初创公司所提供的廉价AI工具制作的虚假信息。一个是由AI生成的主播大肆批评美国的视频，目的是迎合哈西娜政府在选举前的态度。另一个是由AI生成的，反对党领导人在巴以问题上含糊其辞的视频，这在穆斯林占多数的孟加拉是无法被接受的。

将经过AI深度伪造的视频、音频内容用于干预国家政治和舆情，这并不是第一次。2022 年 3 月，由 AI 生成的乌克兰总统泽连斯基“深度伪造”视频， 声称乌克兰已向俄罗斯投降。2024 年 1 月，一个伪造美国时任总统拜登声音的机器人电话，建议美国新罕布什尔州选民不要在近期的总统初选投票中投票。

1、组合拳：仿冒、偷拍、AI生成

仿冒流行软件诱导用户下载安装、秘密偷拍人脸照片生成AI视频、监控金融软件拦截账号密码和短信，最终对用户金融账号的盗刷。这就是金融黑产组织“金相狐”打出的一套丝滑小连招，看得一道安全专家大跌眼镜。

2024年3月，奇安信病毒响应中心披露了一个针对泰国网民的金融黑产组织金相狐，揭秘了该组织一系列复杂的、让人炫目的攻击套路。详细过程如下：

步骤 1：金相狐组织制作投递伪装成泰国省电力局（PEA）应用的仿冒软件。PEA正版应用仅在Google Play Store的下载量就达500万+次，是泰国民众生活必备软件之一。

步骤 2：诱导用户授予仿冒软件相关权限。

步骤 3：仿冒软件获得授权后，开始默默偷拍，窃取用户面部特征数据和其他信息。

步骤 4：将窃取的受害者信息上传到云服务器和主控服务器。

步骤 5：诱导用户安装并开启金融监控软件（另外一款恶意如软件）。

步骤 6：金融监控软件也会窃取诸如应用安装列表、设备信息和短信等信息到主控服务器。

步骤 7：金融监控软件会接收主控服务器下发的远控指令，在用户使用金融软件时，窃取用户金融软件账户密码并锁定金融软件，禁止用户使用的行为，并将相关操作日志上传到主控服务器。

步骤 8：通过受害者设备信息和大量的面部特征数据，通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户，实施转移财产等操作。

2、AI换脸视频骗走香港公司2亿港币

2024年初，香港一家跨国公司某员工，收到了一封英国总部CFO的邮件，称总部正在计划一项秘密交易，需要将公司资金转到几个香港本地账户中。

该员工一开始认为这是钓鱼邮件，未予理会。但是骗子反复发邮件强调项目重要性，并邀请他参加一个视频会议。在视频会议中，这位员工看到了公司的CFO和他认识的几位同事，对方还在会议中要求该员工进行自我介绍。最后，视频会议中的英国领导要求他赶快转账，之后就突然中断了会议。

信以为真的员工分15次向5个香港本地账户陆续汇款2亿港币。事发5天后，他才回过味来，向英国公司求证，最终发现被骗了。

需要说明的是，表面上看起来，骗子与受害者是召开的一个具有“互动性”的视频会议。但实际上，受害者看到的只是经过人工智能技术生成的换脸视频。骗子将参会人员的脸，换成了一众公司高管的脸，并通过预设的“套路”与受害者进行限定范围内的“简单交互”。最后突然挂断视频会议，就是为了防止受害者进行进一步验证或交互。

此案也是迄今为止，全球范围内，利用AI换脸视频完成的，涉案金额最大的网络诈骗案。

3、印度陆军开发AI社交网络美女间谍

2024年1月报道称，印度陆军开发了一个人工智能聊天机器人，并设计成为国外情报人员在网上伪装成的恋人的形式，通过具有诱惑性的虚构对话来评估士兵的在线行为，确定士兵对国外在线“美人计”信息提取和心理操纵的敏感程度。

此举被媒体评论为“标志着印度陆军网络安全战略的重大转变”，即通过积极主动的方式提前对士兵的违规行为做出响应，还很有可能在识别出潜在的受害者，并根据士兵的在线行为和情绪触发因素定制专门的培训内容，以减少被诱骗的风险。同时，通过聊天机器人的数据可获得有关国外情报机构运作的重要信息，并有助于改进印度陆军网络防御，并有效保护士兵。

WhatsApp上的 “美女诱惑”与“导弹机密泄露”。

普拉迪普·库鲁卡 (Pradeep Kurulkar)是印度国防研究与发展组织（DRDO）研究与发展机构实验室负责人，也是印度阿卡什发射器和关键任务地面系统防御项目骨干，在该项目设计、开发和生产中发挥了关键作用。

据称，他与一名巴基斯坦情报女特工扎拉·达斯古普塔(Zara Dasgupta)分享了有关国防项目的敏感信息。库鲁卡通过 WhatsApp 和视频通话与扎拉保持联系。扎拉对库鲁卡进行诱惑，迫使他泄露敏感秘密，其中包括主动展示了一份有关布拉莫斯导弹项目的“高度机密”报告。

2023年的另一个案例是DRDO综合试验场高级技术官员巴布拉姆·戴伊 ( Baburam Dey)因涉嫌向巴基斯坦情报提供有关印度导弹试验的情报而被拘留。一名自称是印度北方邦贫困理科学生的巴基斯坦女性情报人员(PIO)与戴伊保持了一年多的联系。

类似的事件在印度屡屡发生。仅在2020奶奶，就有13名印度海军人员从不同的海军基地被捕，并被指控向巴基斯坦间谍泄露敏感信息。巴基斯坦情报人员通过社交媒体资料与他们成为了朋友。

印度政府这下“坐不住了”，决定开发AI聊天机器人，作为“数字盾牌”。智能模拟PIO进行“美人诱惑”。印度陆军士兵新开发的这款聊天机器人，在WhatsApp上运行并模拟与士兵的对话，模仿各种诱蜜场景，并根据士兵的反应继续进行模拟。该人工智能聊天机器人可以自我学习，可以轻松添加新场景以进行有效训练。

通过该聊天机器人可以发现部队中落入陷阱的人。测试中，不易受诱惑的士兵会立即阻止来自未知号码的、未经请求的消息；而那些易受诱惑的接受士兵则会继续谈话，并被全程彻底监视。

据悉，这款人工智能的聊天机器人技术已经过测试，并将很快部署。一旦部署，预计指挥官将使用该技术与其所在部队的人员聊天，找出易受此类陷阱欺骗的人。