人工智能驅動的代理正在快速發展，為自動化日常任務提供了更強大的能力。然而，研究人員發現，這些工具也可能被惡意行為者利用來實施攻擊。OpenAI 的“Operator”于 2025 年 1 月 23 日作為研究預覽發布，代表了新一代能夠與網頁交互并在最少人為干預下執行復雜任務的 AI 工具。

盡管這些代理設計初衷是合法的，但它們可能被攻擊者利用來創建基礎設施并發動復雜的攻擊。在一項令人擔憂的演示中，AI 代理在幾乎無人指導的情況下，成功完成了模擬攻擊的多個步驟。

AI 代理的潛在威脅

OpenAI 的 Operator 展示了 AI 技術在攻擊中的潛在威脅。測試表明，這些系統可以輕易被操縱來執行偵察任務、編寫惡意代碼，并通過社會工程技術進行傳播。賽門鐵克的安全研究人員指出，通過簡單的提示修改，他們就能繞過 AI 的安全防護。

在實驗中，研究人員只需聲稱獲得了目標的授權，Operator 就會繼續執行潛在有害的操作，包括識別特定員工、推斷其電子郵件地址，并編寫具有說服力的釣魚郵件。演示還顯示，Operator 能夠獨立研究 PowerShell 命令，然后編寫用于收集敏感系統信息的腳本。

Operator 創建的 PowerShell 腳本（來源：賽門鐵克）

生成的代碼包括收集操作系統詳細信息、計算機規格、網絡配置和磁盤信息的命令——這些都是攻擊者在網絡中建立立足點所需的寶貴情報。最令人擔憂的是，Operator 能夠編寫具有說服力的釣魚郵件。郵件中，它冒充一名名為“Eric Hogan”的 IT 支持專業人員，并為目標創建了一個看似合理的理由來執行腳本。

Operator 發送給目標（賽門鐵克的 Dick O’Brien）的電子郵件（來源：賽門鐵克）

郵件中催促目標執行腳本，以確保“系統完整性和性能”，并稱這是“持續努力”的一部分——這種語言與合法的 IT 通訊風格非常相似。

技術影響與未來擔憂

Operator 創建的 PowerShell 腳本展示了 AI 已經能夠在沒有人類專業知識的情況下編寫功能性的惡意代碼。該腳本使用標準的 Windows Management Instrumentation (WMI) 命令來提取系統信息，并將其保存到用戶配置文件中的文本文件中。

雖然這個例子僅收集了系統信息，但同樣的方法可用于創建更具破壞性的載荷。安全專家警告稱，隨著這些 AI 代理變得越來越復雜，攻擊者可能會指示它們“黑入公司 X”，并讓 AI 自動確定并執行最佳攻擊策略，這將大大降低實施網絡攻擊的技術門檻。

隨著 AI 技術的不斷進步，網絡安全領域面臨的新挑戰不容忽視。企業和安全團隊需要采取更加主動的措施，防范 AI 代理可能帶來的威脅。