前言
关键基础设施(OT/ICS 系统)的网络攻击,长期以来被认为需要专业的行业知识和丰富的攻击经验积累才能实施。然而,Dragos 2026 年 5 月 6 日发布的分析报告,展示了一个令人警惕的新变化:攻击者借助商业 AI 工具,在没有 OT 领域任何先前经验的情况下,成功识别并建立了通往水务设施 OT 环境的可行攻击路径。
这件事对 AI Agent 开发者社区的意义在于:我们需要正视一个事实——AI 在降低攻击门槛这件事上,是不分善恶的。
事件概述:目标、地点和时间线
- 目标:墨西哥蒙特雷 metropolitan 区域的城市供水与排水设施
- 时间线:2025 年 12 月 至 2026 年 2 月
- 攻击结果:IT 环境严重失守,OT 环境入侵尝试未遂
- 分析样本:Dragos 从攻击现场提取了 350 个相关 artifacts
AI 在攻击中的分工:Claude 主执行,GPT 做分析
Dragos 的分析揭示了攻击者如何将商业 AI 模型嵌入攻击链的不同阶段:
Claude(Anthropic):作为「主要技术执行者」
- 处理 Prompt-Response 交互,指导入侵活动推进
- 分析目标设施 SCADA 系统的供应商文档
- 生成默认凭证和已知凭证列表,用于对系统的暴力破解攻击
- 开发和部署攻击期间的恶意脚本
GPT(OpenAI):承担「分析角色」
- 处理和汇总从目标网络收集的数据
- 生成西班牙语输出(目标设施和攻击者均位于墨西哥)
- 辅助攻击者评估哪些路径有效、哪些需要调整
Dragos 分析师 Jay Deen 在博文中写道:「本次调查展示了商业 AI 工具如何帮助一个在 OT 攻击领域毫无既往目标的攻击者,识别出 OT 环境,并开发和完善出通往 OT 基础设施的可行访问路径。」
关键洞察:AI 降低的不是攻击成本,而是攻击门槛
本次事件最重要的警示不是「AI 被滥用」这个已知事实,而是滥用 AI 带来了什么质的改变:
| 传统攻击者画像 | AI 辅助后的攻击者画像 |
|---|---|
| 需要 OT 领域的深厚知识积累 | 无需 OT 专业知识 |
| 需要自学 SCADA 系统原理 | 让 AI 分析供应商文档 |
| 需要编写定制化攻击工具 | 让 AI 生成恶意脚本(350 个 artifacts 大部分为 AI 生成) |
| 攻击周期长、效率低 | 实时调整技术路线,高效迭代 |
换言之,AI 将「 OT 攻击」从一项需要多年专业积累的高门槛技能,变成了一项可以通过自然语言引导、AI 模型代劳的半自动化工程。
OT 安全团队的防御启示
Dragos 对此事件的防御建议包括:
- 强制执行安全远程访问策略:将 IT 与 OT 之间的访问通道收窄到最小必要范围
- 强身份认证覆盖 OT 环境:不只是 IT 网络需要 MFA,OT 网络的每个入口节点都需要
- AI 模型的使用审计:监控流经企业网络的 AI 模型请求,尤其是涉及基础设施系统的文档和凭证相关内容
我们的判断
对谁有用:从事 OT/ICS 安全、工业控制系统集成的安全工程师,以及 AI 安全研究者。
影响在哪里:这次事件证明了 AI 在关键基础设施攻击中的「平权效应」——它不只是让攻击更快,而是让以前「没资格」攻击 OT 的人现在有能力攻击了。对于安全社区来说,这意味着威胁面正在以前所未有的速度扩大。
值得关注的趋势:Dragos 报告特别提到,攻击者利用的是「已进入 IT 环境的已有威胁」结合 AI 工具实现 OT 侦查和路径开发。这意味着企业防御的纵深策略需要重新审视 IT/OT 边界——AI 工具让这个边界更容易被从内部绕过。