首页 > 链百科 > Sophos揭秘：黑客利用Claude开发70种绕过杀毒软件的攻击技巧

Sophos揭秘：黑客利用Claude开发70种绕过杀毒软件的攻击技巧

2026-06-08 11:28:25

一个犯罪黑客团伙利用包括Claudemodel在内的人工智能代理，构建并测试了<em>70</em>多种让恶意软件躲过主流安全软件检测的方法。

Sophos 揭示 AI 驱动的规避实验室

事情的起点是一台客户网络中的异常终端，它因在测试文件夹中投放的文件触发了警报。Sophos的分析师发现了一整套旨在在被攻陷主机上保持隐身的工具包。许多脚本用俄语编写，且至少部分由 AI 生成，而非人工敲写。

攻击者部署了一簇虚拟机，然后让不同系统分别对抗CrowdStrike和MicrosoftDefender 的产品，同时保留一台不设防的对照机。一台 Linux 服务器通过 Sliver 框架运行指挥通道，整套工具隐藏在 Cobalt Strike 流量、Telegram 消息以及用于掩盖真实服务器的 Cloudflare 中转之后。

多个代理分工协作。运行 Claude Opus 4.5 的代理为其余代理设定游戏规则，其他代理则负责寻找绕过手法、收紧行动安全、向受信任的 Windows 进程注入代码，并记录每一次测试结果。

为何 Claude 的角色让防御方担忧

该团伙大量依赖Cursor这一 AI 编码工具，并通过开放协议将代理接入其代码仓库，使其能够挖掘公开研究，并将技术映射到被广泛跟踪的攻击技术目录。其核心是一款 Python 工具，通过大约 80 个加密与伪装模块对有效载荷“打包”，以躲避扫描器。这些模块针对三款竞争对手防御产品测试了 70 多种技巧。

该项目打着“红队”旗号。研究人员指出，这种表述主要是为了规避 AI 针对恶意软件生成设下的护栏——这一“借壳红队”的伎俩也曾出现在针对墨西哥政府目标的攻击报道中。