谷歌报告：AI 加速云攻击，企业需自动化防御应对第三方漏洞与身份入侵

AI 加速攻击云端企业成重灾区2026 年 3 月谷歌安全调查人员和工程师团队发布《云威胁展望报告》基于 2025 年下半年的观察得出结论AI 正助力攻击者以前所未有的速度利用漏洞如今大多数云攻击目标是薄弱的第三方软件企业需要自动化、由 AI 驱动的防御措施来跟上节奏。关于大多数企业在组织中实施人工智能能否获得可衡量的收益尚无定论但在网络犯罪领域AI 带来了巨大的生产力提升。网络犯罪分子利用漏洞攻击云端企业更为成功因为云端是企业最脆弱的地方。谷歌云安全部门发现从漏洞披露到大规模利用的时间窗口从数周缩短至数天。报告指出对抗由 AI 驱动的攻击最佳方式是采用由 AI 增强的防御措施组织应转向更自动化的防御。通过第三方代码潜入如今安全威胁并非针对谷歌云、亚马逊网络服务AWS和微软 Azure 等服务的核心基础设施这些目标有良好的安全保障。相反威胁行为者涵盖犯罪团伙和国家支持的特工尤其是来自朝鲜的正瞄准第三方代码中未修补的漏洞。报告包含多个此类攻击的详细示例如对 React Server Components 中关键远程代码执行RCE漏洞CVE - 2025 - 55182通常称为 React2Shell的利用该漏洞公开披露后 48 小时内攻击就开始了。另一起事件涉及流行的 XWiki 平台CVE - 2025 - 24893中的 RCE 漏洞攻击者通过发送特定搜索字符串就能在远程服务器上运行任意代码该漏洞 2024 年 6 月修复但补丁未广泛部署攻击者在 2025 年 11 月开始利用。一个特别引人注目的案例是名为 UNC4899 的国家支持的攻击团伙可能来自朝鲜控制了 Kubernetes 工作负载窃取数百万美元加密货币。他们以开源项目合作为借口诱使开发人员下载存档文件开发人员通过 Airdrop 传输到公司工作站使用 AI 辅助的集成开发环境IDE与存档内容交互最终执行嵌入的恶意 Python 代码该代码生成并执行伪装成 Kubernetes 命令行工具的二进制文件成为威胁行为者进入受害者工作站的后门得以进入企业网络。还有一起事件始于被入侵的 Node Package Manager 软件包该软件包窃取开发人员的 GitHub 令牌利用令牌访问亚马逊网络服务窃取存储在 AWS S3 存储桶中的文件然后销毁原始文件这一切在 72 小时内发生。身份入侵新趋势攻击方式从使用暴力攻击破解弱凭证转向通过各种技术利用身份问题17% 的案例涉及基于语音的社会工程攻击即语音钓鱼12% 依赖电子邮件网络钓鱼21% 涉及与第三方受信任关系被破坏21% 涉及攻击者利用被盗的人类和非人类身份7% 是由于攻击者通过配置不当的应用程序和基础设施资产获得访问权限。攻击者并不总是来自远方“恶意内部人员”包括员工、承包商、顾问和实习生正在将机密数据传出组织这类事件越来越多地涉及与平台无关、面向消费者的云存储服务如谷歌云端硬盘、Dropbox、微软 OneDrive 和苹果 iCloud报告称这是“从组织中窃取数据增长最快的方式”。如今攻击者在暴露自己之前会慢慢来45% 的入侵导致数据被盗但入侵时并未立即进行勒索尝试这些入侵通常具有长时间潜伏和隐蔽持久的特点。企业如何保护自己报告为 IT 专业人员提供了保障云基础设施安全的建议分为针对谷歌云客户的具体建议和针对使用其他平台客户的更通用指导。对于大型组织中负责安全的管理员这些建议值得仔细考虑并纳入现有安全措施。中小企业可采取以下四项行动1. 加强补丁管理确保所有软件应用程序尤其是第三方应用程序都能自动更新2. 强化身份和访问管理IAM使用多因素认证确保只有授权用户能够访问管理工具3. 监控网络留意异常活动和数据移动包括外部攻击和内部威胁4. 制定好事件响应计划一旦发现入侵迹象立即启动最初的几个小时至关重要若没有准备好拼凑调查和遏制资源可能需要数天时间。对于没有安全专家的小企业最佳解决方案是找到一家具备所需技能和经验的托管服务提供商不要等攻击者得手后才开始寻找。安全相关内容- 你的安卓手机最强大的安全功能默认关闭且隐藏尽快开启- 随着勒索软件减少一种更危险的新型数字寄生虫正在兴起- 你的电脑关键安全证书可能即将过期如何检查- 如何将你的 iPhone 锁定到极致连 FBI 都无法进入。