這場“AI打AI”的戰爭，2025年悄悄打響了

2025年7月，烏克蘭計算機應急響應中心（CERT-UA）披露了一個讓安全圈集體沉默的發現：一款名叫LAMEHUG的惡意程序，被俄羅斯黑客組織APT28用來攻擊烏克蘭政府機構。它直接在代碼里調用Hugging Face上的開源大模型（Qwen 2.5-Coder），讓AI實時生成系統命令，偷取目標機器上的數據。這是全球公開確認的第一個把大語言模型真正“嵌入”運行時的在野惡意軟件。

僅僅一個月后，安全公司ESET又抓到另一個樣本——PromptLock。這是一款勒索軟件，它不把惡意代碼寫死在程序里，而是在運行時實時調用本地大模型（通過Ollama跑gpt-oss模型），根據受害者電腦里的文件類型和內容，動態決定要加密什么、怎么破壞、索要多少贖金。安全研究員直接把它叫做“勒索軟件3.0”。這正是我們前面九篇講的所有AI投毒威脅的一次集大成：AI既是被攻擊的目標，也變成了攻擊者的武器。

這件事的沖擊，比聽起來還要大。過去寫病毒要靠人手工敲代碼、調試、測試；代碼一旦寫死，殺毒軟件就能提取特征、建樣本庫，下次直接攔住。這套規則跑了快四十年。PromptLock徹底打破了它——惡意代碼是攻擊當時AI現生成的，每次都不一樣，傳統基于特征的檢測根本無從下手。多家國際威脅情報團隊在2025年的報告里都直言：這類新型惡意軟件“動態生成腳本、混淆自身代碼、按需創建惡意功能”，雖然還在早期，但已經是在野真實威脅。

消息出來后，很多人第一反應是：“那AI公司要不要負責？”這個問題問得對，但答案沒那么簡單。2025年，OpenAI、Anthropic和Google都先后在自己的威脅情報報告里承認：有攻擊者利用他們的大模型和AI智能體工具，對全球科技、金融領域的機構發起自動化攻擊。這些公司選擇了主動披露，這本身已經是負責任的態度。但它也說明一個殘酷事實——哪怕是全球最頂尖的AI平臺，也沒法在事前100%阻止自己的能力被濫用。菜刀能切菜也能傷人，AI工具本身中性，用來防御還是攻擊，取決于誰在用、怎么用。

把視線拉回國內，看一組實打實的數據。2025年9月，國家網絡安全宣傳周期間，國內首次針對AI大模型的實網眾測結果公布：559名白帽子對15款主流大模型及應用產品進行測試，一共挖出281個安全漏洞，其中大模型特有漏洞177個，占比超過63%。提示注入、越獄、對抗樣本……全是這個專欄反復講的那幾類，傳統安全檢測完全覆蓋不了。

與此同時，奇安信鷹圖平臺的監測數據顯示，國內運行Ollama AI框架的服務器中，高達88.9%直接暴露在公網，沒有任何訪問控制。任何人不用認證，就能調用上面部署的DeepSeek、Qwen等大模型，甚至直接發命令刪除模型文件。這不是個別公司疏忽，而是整個行業在快速普及AI時，安全建設明顯跟不上的縮影。

奇安信2026年網絡安全趨勢報告把問題點得很透：攻防雙方在使用AI時，存在結構性不對稱。攻擊方可以大規模試錯，一百次失敗只要一次成功就賺；防御方必須零容錯，一次失誤可能就是不可逆損失。但這不代表防御方只能挨打。阿里云與Omdia聯合發布的報告顯示，企業把“安全和數據隱私”視為AI應用主要障礙的比例，從2023年的11%猛漲到2024年的43%。越來越多的企業開始把安全當成“事前必選項”——已經有制造業公司明確要求，AI方案進評審前必須通過提示注入、越獄、越權調用等負面測試，通不過直接淘汰。這種意識轉變，才是行業真正走向成熟的信號。

這個專欄到這里就快講完了。我們從第一篇的傳統木馬蠕蟲，一路講到第十篇的“AI打AI”，走過了數字威脅四十年的進化史，也把AI投毒從訓練階段到推理階段、從模型本身到整個應用生態的完整圖譜畫了出來。

我想用一句話收尾：病毒的進化，從來不是關于技術的故事，而是關于人類把什么托付給了機器的故事。從軟盤里的數據，到網上的賬號，到工廠的機器，再到今天AI模型里的判斷力——每一次我們把更重要的東西交給機器，攻擊者就把槍口對準那里。這不會停，因為技術不會停。我們能做的，就是每一次托付都比上一次更清醒、更有準備：知道自己在托付什么，知道它可能被怎么利用，知道出了事該怎么找回來。這就是整個專欄最想留給你的——不是恐懼，是清醒。

最后三個問題，請在評論區告訴我你的真實想法：

1. 看完這十篇，你覺得AI投毒這件事，普通用戶最需要改的是哪一個具體行為習慣？還是說這根本不是普通用戶該操心的事，應該全交給企業和監管？

2. “攻擊者開始用AI打造病毒”這件事，讓你更焦慮了，還是因為“防御方也在用AI”所以覺得還能打？

3. 如果你每天用的AI助手，從出廠那天起就被人動過手腳，99%時間表現完全正常，只在某些特定條件下給出被操控的答案——今天看完這十篇，你覺得自己有辦法發現嗎？

把你的答案和經歷寫下來，咱們把AI安全這件事，聊到最后。#人工智能未來#