网络安全公司Sysdig披露了一起疑似借助AI代理实施的入侵事件。Cybernews当地时间5月29日报道称,攻击者在短时间内完成了从漏洞利用到内部数据库导出的整个过程。
据报道,攻击者利用已公开的Marimo笔记本漏洞发起入侵,获取了云访问密钥、数据库凭据等敏感信息。随后,其利用获取到的凭据,从AWS Secrets Manager进一步调取SSH密钥并登录内部服务器。连上SSH堡垒机后仅用2分钟,攻击者便导出了内部数据库的结构和数据;从入侵Marimo笔记本到完成内部Postgres数据库导出,整个过程在1小时内完成。
Sysdig研究负责人Michael Clark分析称,多项迹象显示,此次攻击过程中可能有AI代理参与。
Clark表示,攻击者仅凭表名,就尝试导出一个是否存在都未确认的数据库表。命令记录中还出现了中文备注“看看接下来能做什么”。他认为,预先编写好的脚本通常不会留下这类“内部独白”;而在6个不同IP之间以不足1秒的间隔切换并维持SSH会话,同时留下备注的行为,也更像是由“AI编排器”驱动,而非人工操作。
他还指出,命令输出经过了整理,便于被其他系统读取,这也被视为AI介入的又一项佐证。
Sysdig认为,这一案例反映出的趋势并不是“AI取代黑客”,而是攻击者开始以AI替代传统脚本工具。Clark表示,攻击的复杂度未必明显上升,但实施成本正在下降;随着这类渗透攻击的构建速度更快、成本更低,类似入侵事件今后可能会进一步增加。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr