據網絡安全公司Picus Labs發布的《2025年紅隊報告》（Red Report 2025）顯示，盡管人工智能（AI）在網絡安全領域備受熱炒，但截至目前，AI并未顯著改變網絡威脅格局，現實世界中的網絡攻擊仍主要依賴一組已知的戰術、技術和程序（TTPs）。這一發現與媒體對AI作為“網絡犯罪終極武器”的過度宣傳形成鮮明對比，提醒企業將注意力集中于實際存在的、實實在在的網絡安全挑戰上。

AI熱潮的現實落差

近年來，AI被視為網絡犯罪的“秘密武器”，媒體報道頻頻提及其在網絡攻擊中的潛力。然而，Picus Labs分析了超過100萬份惡意軟件樣本后發現，2024年并未出現AI驅動攻擊的顯著激增。盡管攻擊者開始利用AI提升效率——例如生成更具欺騙性的釣魚郵件或調試惡意代碼——但總體而言，AI尚未在大多數攻擊中發揮顛覆性作用。《紅隊報告》指出，當前大多數攻擊仍可通過關注傳統且經過驗證的TTPs來有效防御。報告建議：“安全團隊應優先識別并解決防御中的關鍵漏洞，而不是過于關注AI的潛在影響。”

憑證盜竊激增三倍

報告中一個引人注目的趨勢是憑證盜竊的激增，從2024年的8%躍升至25%。攻擊者越來越多地針對密碼存儲、瀏覽器憑證和緩存登錄，利用竊取的密鑰提升權限并在網絡內擴散。這一三倍增長凸顯了加強憑證管理和主動威脅檢測的迫切需要?，F代信息竊取惡意軟件通過結合隱秘性、自動化和持久性，執行多階段“數字搶劫”。合法進程掩蓋惡意操作，日常網絡流量隱藏惡意數據上傳，攻擊者無需“好萊塢式”的高調搶劫，只需悄無聲息地潛伏，等待目標的疏忽。

93%的惡意軟件使用MITRE ATT&CK前10技術

盡管MITRE ATT&CK框架包含數百種技術，但大多數攻擊者仍依賴一組核心TTPs?！都t隊報告》列出的前10大ATT&CK技術中，以下三種竊取和隱匿技術最為常見：

• T1055（進程注入）：攻擊者將惡意代碼注入可信系統進程，增加檢測難度。
• T1059（命令和腳本解釋器）：攻擊者利用目標機上的合法解釋器運行有害命令或腳本。
• T1071（應用層協議）：攻擊者利用常見協議（如HTTPS或DNS-over-HTTPS）創建隱秘通道，用于命令控制和數據竊取。

這些技術的結合使合法進程使用合法工具通過常用網絡渠道收集和傳輸數據，單一基于簽名的檢測方法難以識別。但通過行為分析——尤其是在監控和關聯多個技術數據時——可以更輕松發現異常。安全團隊需專注于識別看似正常網絡流量中的惡意活動。

回歸基本防御策略

當前威脅往往通過多階段攻擊滲透、持久和竊取數據，單一步驟被發現時，攻擊者可能已推進到下一階段。盡管威脅格局日益復雜，《紅隊報告2025》帶來的好消息是：大多數惡意活動仍圍繞一小套攻擊技術展開。通過加強現代網絡安全基礎——如嚴格的憑證保護、先進威脅檢測和持續安全驗證——企業可以暫時忽略AI的熱炒，專注于應對當前的實際威脅。

地緣政治與社交媒體的背景

許多網絡安全專家認為，AI在網絡安全攻防技術領域的潛力雖不容忽視，但當前威脅仍以傳統TTPs為主，企業和政府應優先更新防御策略。地緣政治動態（如俄烏沖突、美國對俄羅斯網絡公司的限制）也提醒企業警惕國家支持的網絡威脅，但Picus Labs的數據表明，AI驅動攻擊尚未成為主流。

總之，AI并未顛覆網絡安全攻防技術，2025年的現實威脅仍以傳統TTPs為主。企業應回歸基本防御，強化憑證管理與行為分析，以應對真實的網絡安全挑戰。