AI 让「脚本小子」变身一人军团:一名俄语黑客借助商用 AI,39 天攻破 55 国超 600 台 FortiGate 防火墙,全程零漏洞利用

资讯分享 发布于 阅读 17

📌 一句话总结:亚马逊威胁情报团队披露,一名技术水平有限的俄语黑客借助商用 AI 工具,在 39 天内攻破了 55 个国家超过 600 台 FortiGate 防火墙设备——没用任何零日漏洞,全靠 AI 帮忙批量试密码。

2026-02-24 · 资讯分享 · 阅读时间约 4 分钟

一个「脚本小子」的 AI 进化

过去,要同时攻击 55 个国家的 600 多台企业级防火墙,你至少需要一个训练有素的黑客团队、几个月的准备时间、以及一套成熟的攻击工具链。

现在,你只需要一个人、几个商用 AI 账号、和 39 天时间。

亚马逊首席信息安全官 CJ Moses 在 AWS 安全博客上发布了一份详细报告:Amazon Threat Intelligence 团队在 2026 年 1 月 11 日至 2 月 18 日期间,追踪到一名俄语背景、以经济利益为动机的威胁行为者,利用多个商用生成式 AI 服务,对全球 FortiGate 设备发起了大规模攻击。

「这名攻击者的技术能力有限,但通过 AI 增强,达到了以前需要一个更大、更专业团队才能实现的运营规模。」
— 来源:AWS Security Blog

攻击手法:没有零日,全靠「笨办法」+ AI

这次攻击最讽刺的地方在于:整个过程没有利用任何 FortiGate 漏洞。攻击者的方法简单到令人尴尬——扫描暴露在公网上的管理端口(443、8443、10443、4443),然后用常见的弱密码尝试登录。

但 AI 把这个「笨办法」变成了工业级流水线:

攻击阶段 AI 的角色
工具开发 AI 生成 Python 扫描脚本和配置解析工具
攻击规划 AI 制定攻击计划和目标优先级
命令生成 AI 生成具体的攻击命令和后渗透操作
数据处理 AI 解析、解密和整理窃取的配置文件
横向移动 备用 AI 工具辅助在内网中横向渗透

攻击者甚至使用了两个不同的 AI 工具——一个作为主力,另一个作为备用,专门用于在特定被攻陷网络中进行横向移动。亚马逊没有透露具体是哪些 AI 工具。

战果惊人:从防火墙到 Active Directory

FortiGate 配置文件是高价值目标,因为里面包含了 SSL-VPN 用户凭证(密码可恢复)、管理员凭证、完整的网络拓扑和路由信息、防火墙策略以及 IPsec VPN 对等配置。

拿到这些信息后,攻击者成功入侵了多个组织的 Active Directory 环境,提取了完整的凭证数据库,甚至瞄准了备份基础设施——这是勒索软件部署前的典型操作。

有意思的是,当攻击者遇到防御较强的目标时,他们不会死磕,而是直接放弃转向更软的目标。亚马逊将其形容为「AI 驱动的网络犯罪流水线」——帮助低技能工人实现规模化生产。

暴露的根本问题

这次事件暴露的不是 AI 有多可怕,而是基础安全有多脆弱。600 多台设备被攻破,靠的不是什么高级技术,而是:

  • 管理端口直接暴露在公网
  • 使用弱密码或常见默认密码
  • 没有启用多因素认证

这些都是安全 101 级别的问题。AI 只是让一个原本只能敲敲门的人,变成了能同时敲 600 扇门的人。

富贵点评

这个案例最值得关注的不是「AI 被用来搞黑客攻击」这个标题,而是它揭示的一个趋势:AI 正在把网络攻击从「手艺活」变成「流水线作业」。以前你得是个技术高手才能搞大规模攻击,现在一个「脚本小子」配上 AI 就能做到。

但换个角度想,这 600 多台设备全是因为最基本的安全配置没做好才被攻破的。AI 没有发明新的攻击方式,它只是把老办法的效率提高了几个数量级。所以与其恐慌「AI 黑客来了」,不如先检查一下自己的防火墙管理端口是不是还挂在公网上、密码是不是还在用 admin123。基础安全做好了,再厉害的 AI 也只能在门外干瞪眼。

📋 要点回顾

  • 攻击规模:一名俄语黑客在 39 天内攻破 55 个国家超过 600 台 FortiGate 设备,全程使用商用 AI 工具辅助
  • 攻击方式:没有利用任何零日漏洞,仅通过扫描暴露的管理端口 + 弱密码爆破,AI 负责生成工具、规划攻击和处理数据
  • 危害程度:攻击者成功入侵多个组织的 Active Directory,提取凭证数据库并瞄准备份设施,疑似为勒索软件部署做准备
  • 核心启示:AI 降低了网络攻击的技术门槛,但被攻破的根本原因仍是基础安全配置缺失——暴露的管理端口、弱密码、缺少多因素认证

❓ 常见问题

Q: 攻击者利用了 FortiGate 的什么漏洞?

A: 没有利用任何漏洞。攻击者只是扫描暴露在公网上的管理端口,然后用常见弱密码尝试登录。这是最基础的凭证爆破攻击,AI 只是帮助提高了效率和规模。

Q: AI 在这次攻击中具体起了什么作用?

A: AI 贯穿了攻击全流程:生成扫描和解析工具的代码、制定攻击计划、生成具体攻击命令、解析窃取的配置文件,甚至辅助在内网中横向移动。本质上是把一个低技能攻击者变成了一个「一人军团」。

Q: 企业应该如何防范这类 AI 辅助攻击?

A: 亚马逊建议的防御措施其实都是基础安全:及时给边界设备打补丁、加强凭证管理(强密码 + 多因素认证)、做好网络分段、以及部署后渗透行为检测。AI 没有创造新的攻击面,做好基本功就能有效防御。

作者:王富贵 | 发布时间:2026-02-24

参考来源:AWS Security BlogThe Hacker News