AI 与网络安全

恶意软件利用提示注入绕过AI安全检测,企业需重新评估AI防御策略

安全厂商发现macOS恶意软件Gaslight利用提示注入技术,命令LLM辅助分析工具中止检测。这一趋势表明AI安全防御正面临新型对抗手段,企业需警惕依赖单一AI检测的脆弱性。

事件概览

2026年6月26日,安全厂商SentinelLabs发布报告,披露了一款名为macOS.Gaslight的恶意软件样本。该恶意软件运行于macOS系统,包含专门设计用于规避AI辅助安全分析的代码:当检测到由大型语言模型(LLM)驱动的安全分析工具时,它会命令这些工具中止分析或拒绝执行检测任务。

SentinelLabs将Gaslight归属于与朝鲜威胁活动相关的BONZAI签名家族。苹果的XProtect已将该样本识别为MACOS_BONZAI_COBUCH规则。这并非孤例——Check Point在2025年就首次记录了类似的AI逃避技术,Socket随后也报告了利用代码规避AI模型检测的有效载荷。

技术与风险分析

攻击方式:提示注入对抗AI检测

Gaslight的核心技术是提示注入(Prompt Injection)——一种针对LLM的对抗性攻击。恶意软件在被分析的沙箱或环境中,主动发送恶意指令给LLM辅助分析工具,要求其停止分析、返回错误结果或拒绝执行安全策略。这种攻击并非针对沙箱本身,而是针对分析沙箱中运行的AI模型。

利用链

1. 初始感染:通过钓鱼邮件、恶意附件或软件供应链将Gaslight植入macOS系统。 2. 环境感知:恶意软件检测当前运行环境是否存在LLM辅助分析工具(如安全厂商的自动化分析平台)。 3. 触发逃避:若发现AI分析工具,则发送特殊构造的提示(prompt),诱导LLM执行“停止分析”或“报告无威胁”的操作。 4. 潜伏与活动:逃避检测后,恶意软件在受害设备上建立持久化访问,窃取数据或横向移动。

受影响资产 - macOS终端设备:尤其是企业环境中部署的MacBook、Mac mini等。 - AI安全分析平台:依赖LLM进行自动化恶意软件分析的系统(如沙箱、EDR、XDR中的AI组件)。 - 身份与凭证:威胁组织可能窃取企业用户凭证。

风险等级评估 - 攻击复杂性:中等。提示注入需要针对特定LLM模型进行定制,但已有公开研究和工具可用。 - 影响范围:当前主要针对macOS,但类似技术可跨平台扩展。 - 潜在危害:高。若AI检测被成功绕过,威胁组织可在企业网络中长期潜伏。

企业影响分析

运营风险 企业安全运营中心(SOC)依赖自动化AI工具进行海量告警分诊。如果AI分析被误导,恶意软件将无法被及时识别,导致响应延迟,攻击者获得更多时间开展破坏活动。

财务风险 - 数据泄露修复成本:根据IBM 2025年数据泄露成本报告,平均成本已超过450万美元。 - 勒索软件赎金:部分恶意软件可能部署加密载荷,Gaslight的变种可能包含勒索功能。

合规风险 企业对个人数据(如员工信息、客户数据)的保护义务可能因未检测到的恶意活动而违反GDPR、CCPA等法规,面临罚款和诉讼。

品牌风险 若企业因AI检测被绕过而导致重大安全事件,将严重损害客户信任,尤其是对于科技和金融行业。

数据风险 Gaslight与朝鲜威胁组织关联,可能旨在窃取商业秘密、知识产权或政治敏感信息。

行业趋势观察

Gaslight的出现标志着恶意软件与AI防御之间的对抗进入新阶段。这不是孤立事件,而是一种日益增长的威胁类别:

  • AI对抗性攻击增加:Check Point、Socket等厂商此前已报告类似案例,证明攻击者正系统性地研究如何绕过AI检测。
  • LLM辅助分析的弱点暴露:安全厂商正越来越多地将LLM用于恶意软件分析、告警分类和威胁情报,但这些模型的提示注入脆弱性正在被利用。
  • 供应链风险延伸至AI模型:攻击者不仅通过传统恶意软件感染终端,还通过污染AI分析流程来隐藏自身。
  • 随着AI安全市场快速增长:Gartner预测到2027年,30%的企业将采用AI驱动的安全解决方案,但这一领域的安全风险尚不成熟。

防御与应对建议

企业层面 - 重新评估AI检测依赖性:不要将AI作为唯一的检测手段。部署多层检测体系,包括签名检测、行为分析、蜜罐等。 - 加强对macOS设备的管理:实施端点检测与响应(EDR)方案,确保支持macOS平台。 - 身份安全:启用多因素认证(MFA),限制权限过度分配。

技术层面 - 强化AI模型防护:在安全分析工具中实施提示过滤、输入验证和输出监控,防止指令注入。 - 集成威胁情报:订阅包括SentinelLabs、Check Point等厂商的威胁情报,及时更新检测规则。 - 使用沙箱隔离:对可疑文件在隔离沙箱中分析,确保AI分析过程不与外界通信。

管理层面 - 制定事件响应计划:包含针对AI检测失效的场景演练。 - 第三方风险管理:评估安全供应商的AI检测能力,要求其提供对抗提示注入的保障措施。 - 安全意识培训:教育员工识别钓鱼攻击,降低初始感染风险。

SecurityPost Insight

Gaslight恶意软件并非技术上的重大突破,但它精准打击了当前企业安全架构中的一个核心假设:AI检测是可靠且不易被欺骗的。事实证明,攻击者已经掌握了利用LLM提示注入绕过AI分析的方法。这对企业安全负责人而言是一个强烈的警示:AI不是万能药,而是需要与传统安全机制协同使用的工具。

我们预计,未来几个月将出现更多针对AI检测系统的对抗性攻击变种,不仅限于macOS,还会扩展到Windows、Linux以及云原生环境。安全厂商需要紧急修补其AI分析平台的提示注入漏洞,而企业则应重新平衡其安全投资——在拥抱AI效率的同时,保持对非AI检测能力的投入。关键是建立弹性检测架构:当AI被绕过时,其他检测层仍能有效工作。

此外,此次事件也凸显了威胁情报共享的重要性。SentinelLabs将Gaslight与朝鲜威胁组织关联,提醒企业注意地缘政治背景下的针对性攻击。CISO应将此类信息纳入风险登记簿,并评估组织是否属于高价值目标。

长期趋势是,AI与恶意软件的“军备竞赛”将不断升级。企业不能等待完美AI解决方案的出现,而必须立即采取措施,包括对安全供应商的AI能力进行审计、部署对抗性测试以及建立人机协作的SOC流程。SecurityPost将持续跟踪这一领域的发展,为读者提供前沿洞察。

证据路径 · securitypost

securitypost 将这段说明放在「威胁简报 / 企业安全 / 聚焦身份、云防护、终端安全、安全运营、供应商动态,以及影响企业风险管理的关键控制措施。」的站点语境中。「威胁简报 / 企业安全 / 聚焦身份、云防护、终端安全、安全运营、供应商动态,以及影响企业风险管理的关键控制措施。」解释了本文的本地编辑角度: 读者复用摘要前应先打开来源链接。日期、名称和状态变化仍需重新核对。

Source URL

  1. https://www.csoonline.com/article/4190094/malware-authors-subvert-ai-detection-systems.htmlPrimary

相关文章

返回频道