文章总结： 本文探讨地缘政治与AI驱动的网络威胁，涵盖供应链攻击、勒索软件及生成式AI加剧的钓鱼和虚假信息。报告指出AI既是威胁倍增器，也是防御核心，可通过多模态检测、自动化编排及智能体技术增强防御。建议构建跨国界协同生态，利用数据驱动敏捷决策，并加速遗留系统现代化以应对动态网络挑战。 综合评分： 80 文章分类： 威胁情报,AI安全,供应链安全,安全建设

在动态的网络/混合环境中的挑战与机遇

原创

所长007

蓝军开源情报

2026年1月12日 09:43 湖南

关注▲蓝军开源情报▲和10万+情报研究员，一起成长

【导读】

当前，全球网络空间正处于地缘政治摩擦与技术突变的深度共振期，安全态势已由单一维度的技术对抗，演变为“动态网络”与“混合环境”下的全域复杂博弈。本报告聚焦人工智能技术飞速跃升背景下，全球网络威胁的演变逻辑与防御体系的战略重构。

《在动态网络/混合环境中的挑战与机遇》指出，威胁形势深受地缘政治张力与技术迭代的双重驱动，呈现出高度的复杂性与非线性特征。

本研究强调，AI同为重构网络防御体系的“倍增器”。通过部署智能体人工智能、自动化编排响应及动态蜜罐技术，防御方有望在多模态威胁检测、自适应防御及遗留系统现代化改造上取得质的突破。

综上，本报告认为，未来胜负的关键在于构建跨部门、跨国界的协同防御生态，以及在混合战争灰色地带建立数据驱动的敏捷决策能力。

加入蓝军开源情报知识星球会员，免费下载本文原文、完整译文。如需要购买其它精译报告、自研报告及情报数据库，请加微信：lanjunqingbao2081。

关键词：俄乌战争，太平洋战区，战争教训，无人系统

这是蓝军开源情报的第 490期分享

编译 l 所长007

来源 l 蓝军开源情报（ID：Lanjunqingbao） 转载请联系授权（微信号：Lanjunqingbao2081）

由于人工智能的进步，网络威胁的规模、复杂性和精细程度都显著提升。这种演变体现在多种威胁载体上，包括网络欺诈、供应链攻击、恶意内部人员和虚假信息传播。为了全面评估其影响，必须考虑它们之间的协同效应。与此同时，只要妥善应对相关风险，网络安全领域也蕴藏着巨大机遇。除了网络防御的自动化、演进和规模化之外，还应考虑大幅缩小攻击面和干扰敌对行为的巨大潜力。

一、不断演变且复杂的威胁形势

全球数字平台的快速发展和日益普及，也伴随着网络威胁形势的不断演变。如今，网络犯罪不仅规模不断扩大，手段也日益复杂。随着我们数字足迹的扩大，不法分子可利用的攻击面也随之增加。我们必须携手应对这一日益严重的威胁。互联网的无国界特性要求我们跨越各种司法管辖区的限制开展合作，以确保威胁行为者无处藏身，肆意妄为。

菲律宾信息和通信技术部长伊万·约翰·E·乌在伊世界经济论坛指出，网络安全威胁形势受到地缘政治紧张局势和技术快速发展的影响，这些因素共同造就了一个复杂且充满不确定性的环境，并带来重大的经济影响。网络安全技能缺口的扩大进一步加剧了应对这些挑战的难度。勒索软件、网络欺诈和供应链中断是影响组织的三大网络风险，其次是恶意内部人员、虚假信息/外国信息操纵和干扰（FIMI）以及拒绝服务攻击。

供应链事件可以很好地说明环境的复杂性。例如，2021年“永恒之选”号集装箱船阻塞苏伊士运河长达六天，对全球贸易造成了严重的连锁反应，每天有价值97亿美元的货物滞留。苏伊士运河事件凸显了全球物流对单一物理瓶颈的脆弱性，强调了增强供应链韧性和多样性的必要性。同样的道理也适用于数字供应链，在复杂的供应链网络中，安全级别的可见性和治理可能存在问题。世界经济论坛《全球网络安全展望》报告显示，超过半数的受访大型企业认为这些漏洞是其生态系统中最大的网络风险。然而，Marsh《网络韧性状况报告》估计，只有五分之二的企业对其供应商和供应链进行了风险评估。由于企业缺乏对其庞大而复杂的供应商网络的可见性，这些盲点为攻击者提供了可乘之机。值得注意的例子包括但不限于：2020 年 SolarWinds Orion IT 漏洞事件、2021 年 Kaseya 勒索软件事件、2023 年空客攻击事件、以及 2025 年 Marks & Spencer 最新攻击事件。

正如上文Kaseya和Marks & Spencer的案例所示，如果供应链攻击与勒索软件相结合，其影响会被进一步放大。根据万事达卡RiskRecon关于勒索软件对供应链影响的报告，预计每年每100家供应商中就有一家会遭受勒索软件攻击。虽然1%的比例单独来看似乎微不足道，但对于拥有数百家供应商的大型企业而言，这意味着每年可能要应对五起或更多起勒索软件事件。Gartner在2021年预测，到2025年，45%的企业将遭受软件供应链攻击。虽然他们后续的研究结果并未证实这一预测的准确性，但确实表明了攻击的普遍性和规模的不断扩大，以及企业因此而加强防御的积极性。

反之，即使安全事件并非源于不安全的供应链网络，而是源自大型组织内部，其对供应链的影响也可能十分巨大，并带来重大的经济后果，包括破产风险，正如最近捷豹路虎遭受的攻击所表明的那样。尽管截至撰写本文时，该事件的全部影响尚不完全清楚，但由此产生的供应链风险已促使人们呼吁英国政府介入并保护面临风险的供应商。至于事件本身，目前仍在调查中，尚未正式与勒索软件联系起来。然而，该事件背后的自称威胁行为者组织“Scattered Lapsus  Hunters”已知曾使用过勒索软件、社会工程、敲诈勒索和EDR规避技术。

虽然经济动机似乎是网络威胁的主要驱动力，但这与地缘政治紧张局势并非互不相容。随着地缘政治紧张局势持续影响网络安全事件和策略，以及其背后的经济模式日趋成功，供应链攻击可能会变得更加普遍，并融入日益复杂的攻击链中。

二、威胁行为者手中的生成式人工智能

生成式人工智能的出现体现了技术的飞速发展。不出所料，鉴于其日益普及，它已成为攻击的主要目标和工具，包括针对软件供应链的攻击。开源软件尤其容易受到国家支持的攻击者的攻击，这些攻击者越来越多地试图渗透开源软件，以此作为在全球范围内攻击目标的手段。,特别是，不安全的AI供应链攻击可能允许恶意攻击者通过将不安全的软件推送到共享库和组件中来植入后门、恶意软件或其他恶意代码。例如，2022年PyTorch-nightly预发布版本中注入的恶意软件（该恶意软件随后被移除），以及被污染的PoisonGPT预训练大型语言模型，该模型以误导性的名称上传到HuggingFace，并在2023年7月短暂地向公众开放。

开源软件特别容易受到国家支持的行动者的攻击，这些行动者越来越多地试图渗透开源软件，以此作为在全球范围内达到目标的一种手段。

生成式人工智能的创新也推动了其他网络威胁的演变，其中最显著的是网络钓鱼。生成式人工智能工具似乎降低了网络钓鱼和社会工程攻击的成本，同时提高了攻击的有效性。因此，这类攻击的数量有所增长，这也揭示了其背后庞大的规模。 Crowdstrike 发布的《2025 年全球威胁报告》显示，语音钓鱼攻击（攻击者试图通过电话对受害者进行社会工程攻击）在 2024 年上半年和下半年之间增长了五倍。与此同时，Verizon 报告称，过去两年中，合成生成的恶意电子邮件数量翻了一番。攻击规模并不止于初始访问。攻击者在获得初始访问权限后，完成整个攻击链所需的平均时间（“突破时间”）已缩短至 48 分钟，最快的突破时间仅为 51 秒。因此，检测和响应的时间也需要相应减少。

更令人担忧的是，大语言模型生成的钓鱼页面似乎比人工编写的页面更能有效地诱骗受害者。Heiding等人的研究表明，前者的点击率高达54%，而后者仅为12%。与此同时，两者的检测率似乎相近，这更加凸显了自动化过滤机制的必要性，以减少用户的攻击面。此外，还必须更新提高公众意识和教育举措，以便人们能够独立或借助数字工具识别钓鱼和社会工程中生成式人工智能的异常迹象。

恶意使用生成式人工智能的另一个影响方面是内部威胁。IBM 警告称，像 OpenAI 的 ChatGPT 这样的生成式人工智能工具可以保留并复制员工共享的敏感数据，从而有效地扩大了内部威胁的范围。创建针对特定业务用途定制的专有人工智能应用程序也存在风险。例如，恶意内部人员可能会篡改训练数据以扭曲结果，或者在监控和日志记录薄弱的情况下对人工智能应用程序进行逆向工程。

此外，生成式人工智能已被用于钻招聘流程漏洞，使远程IT从业人员能够伪装真实身份并渗透到受害组织内部。由此，他们得以获取敏感数据和设备，并为自己谋取利益。朝鲜民主主义人民共和国的“千里马”组织就是一个最为复杂的例子。这些看似来自世界各地的朝鲜远程IT从业人员利用生成式人工智能改变声音，使用深度伪造视频在虚拟面试中伪装外貌，甚至在LinkedIn上也创建了极具说服力的虚假IT职位简历。仅Crowdstrike的威胁猎手在2024年就应对了约120起“千里马”组织发起的内部威胁行动。然而，由于多家机构都在监控并报告类似的情况，预计问题的实际规模会更大。,为了理解问题的其他层面，还需要考虑此类事件未来可能被武器化，用于 FIMI 行动，以煽动民众中的仇外和不信任情绪。

生成式人工智能已被用于利用招聘流程的不足，使远程 IT 工作人员能够伪装自己的真实身份并渗透到受害组织中。

利用生成式人工智能伪装身份并定制社交工程攻击活动可能会导致身份盗窃案件增加，尤其针对知名人士。世界经济论坛指出，身份盗窃正成为首席信息安全官 和首席执行官  面临的主要个人网络风险。

在信息、媒体和信息传播（FIMI）领域，生成式人工智能工具被用于大规模生成信息宣传活动中的定制内容。2024年8月，一个名为“绿蝉”的IO网络被发现由一个中文大语言模型系统驱动，该网络拥有超过5000个虚假账户。它被用于在2024年美国总统大选前夕放大具有政治分裂性的议题。与俄罗斯结盟的运营者也利用大语言模型系统生成内容，并自动化针对美国受众的大规模IO宣传活动。

三、企业级 FIMI

欧洲对外行动署关于FIMI行动的第二份和第三份报告揭示了其全球规模，目标已从乌克兰和美国扩展到欧洲、非洲、澳大利亚、中东和拉丁美洲的多个国家。仅在2024年，欧洲对外行动署就记录了500多起事件，涉及25个平台上的38000个渠道，目标包括90个国家和300多个组织。此外，FIMI行动背后的战略方法揭示了针对当地受众的语言和文化适应性，通过选举、备受瞩目的国际事件和危机，进一步促进了地缘政治目标在这些受众中的传播。,

FIMI 活动背后的战略方法展现了针对当地受众量身定制的语言和文化适应性，进一步促进了通过选举、备受瞩目的国际事件和危机在这些受众中推进地缘政治目标。

如此大规模的行动依赖于复杂的多层基础设施，欧洲对外行动署的FIMI暴露矩阵可以有效地描绘这些基础设施。这些基础设施包括官方渠道、国家控制的媒体、与国家有关联的秘密实体以及与国家结盟的网络。俄罗斯的生态系统采用了一种更加分散和适应性强的架构，而中国的生态系统则更加集中和同步，多个渠道会同时就同一主题展开讨论。这两个生态系统都依赖于广泛的秘密的、与国家结盟的网络和增强节点来渗透到不知情受众的本地信息环境中。它们还广泛使用一次性临时账户、冒充合法媒体以及日益增强的生成式人工智能来规避归因、逃避检测、确保影响力行动的持久性和可扩展性。

值得注意的是，欧洲对外行动署第三份报告重点指出了“雇佣影响力”的商业化运作。具体而言，私人公关公司和网红被利用来伪装成独立实体，同时暗中在诸如海能、Paperwall和“Volume News”网络等活动中宣传与国家立场一致的叙事。这种外包模式扩大了FIMI活动的影响范围和韧性，使归因更加复杂，并凸显了在国家和国际层面采取协调一致、基于证据的应对措施的必要性。

威胁行为者通常会结合多种策略和技术，以最大限度地扩大其行动的影响。同样重要的是，有些攻击通过保持在常规阈值以下来规避检测和应对。因此，为了评估这些威胁的全面影响，必须考虑它们的协同效应，以及一系列协调一致的应对措施，这些措施能够加强信息共享，并最大限度地减少其在灰色地带的影响。

四、网络安全的机遇

一方面，威胁行为者利用生成式人工智能来增强攻击的复杂性、自动化程度和有效性，并扩大攻击面。另一方面，同样的创新也为网络安全带来了巨大而令人兴奋的机遇。生成式人工智能有潜力增强检测和响应能力，尤其是在分析语言线索、图像和视频不一致之处以及行为模式方面。这意味着增强网络钓鱼、深度伪造和虚假信息检测的潜力巨大。使用合成生成的网络钓鱼数据集训练检测模型已经展现出令人鼓舞的结果。将图像、音频和视频与文本结合使用，并采用多模态检测，可能会在网络钓鱼检测以及深度伪造和虚假信息的检测方面带来更多优势。行为分析还可以识别电子邮件通信、消息语气和历史使用模式中的异常情况，从而识别潜在的身份盗窃、鱼叉式网络钓鱼攻击或虚假信息。

此外，网络防御工作流程的自动化、演进和扩展存在诸多机遇，优化潜力巨大。诸如漏洞修补和管理更新等常规但至关重要的任务，现在可以集成到安全编排、自动化和响应流程中。例如，可以考虑在检测到漏洞后触发补丁工作流程。此外，还值得探索利用监控来识别补丁后出现的任何异常情况。除了能够减少人为错误、缩小攻击面并缩短检测和响应时间外，自动化还可以释放宝贵的人力资源，使其能够为威胁狩猎或优化现有控制等重要活动提供有价值的见解。

网络防御工作流程的自动化、演进和扩展存在诸多机会，优化的潜力巨大。

与此同时，智能体人工智能有望提供能够随着威胁形势演变并做出反应的自适应防御系统。人工智能体能够从新的攻击中学习并相应地调整其策略，从而增强其抵御不断涌现和多样化威胁的能力。进一步拓展其应用范围，可将其应用于蜜罐，蜜罐能够生成动态交互以收集情报，并利用这些情报来增加对抗的风险和成本。

另一个令人振奋的机遇是利用智能体和生成式人工智能，通过现代化改造传统软件，将其迁移到本质上更安全的平台，从而缩小攻击面。传统软件通常缺乏现代安全控制措施，因此经常存在漏洞，给防御者带来巨大的管理挑战，尤其是在关键基础设施领域。因此，加速迁移到安全平台可能会在缩小攻击面方面带来变革。微软的智能体人工智能工具就是早期为此做出的贡献，旨在实现 Java 和 .NET 软件以及数据库的现代化。除此之外，还有其他一些相关举措，例如 Kyndryl 和 Stride 等人工智能供应商也参与其中。,

随着创新规模的加速扩大，对用户友好、适应性强的教育和沟通环境的需求也日益增长，这些环境能够培训和支持用户以及网络安全从业人员生态系统。鉴于网络安全技能缺口日益扩大，这一点尤为重要，并且有助于更快地整合新的实践、警报、工具和指南。此类举措的重要性不言而喻。

或许最令人振奋的变革体现在治理和风险管理领域，通过对流程、结果和情境参数进行建模，可以为敏捷、数据驱动的决策和战略制定以及评估提供信息。人工智能驱动的审计、基准测试工具和预测分析可以为敏捷决策框架提供信息，帮助跨职能团队管理新兴风险并探索不同的可能结果。智能治理和风险管理框架有潜力对复杂的供应链环境进行建模和基准测试，从而促进透明度、问责制、优化和前瞻性。同样，在国家和国际层面推广这些创新可以提供更负责任、更高效、更可持续、更透明的以公民为中心的服务和数字社会。

五、结语

尽管大型企业和政府更有能力采用人工智能并管理风险，但如果小型企业和国家无法跟上步伐，所有这些努力都可能付诸东流。在日益复杂和互联的生态系统中，如果缺乏足够的扶持，数字鸿沟和供应链安全风险可能会造成严重后果。在这个快速变化的环境中，在行业、国家和国际层面开展合作、沟通和协调至关重要，以便制定政策、设定战略目标并建立基本的安全态势。

虽然大型企业和政府更有能力采用人工智能并管理风险，但如果小型企业和国家无法跟上步伐，所有这些努力都可能付诸东流。

归根结底，网络安全的未来取决于我们是否接受这样一个事实：每一项创新都蕴含着风险和机遇。这种持续的循环要求我们了解其短期、中期和长期影响，才能将挑战转化为机遇，实现长期可持续增长。我们有责任充分利用尖端技术的力量，培育协作生态系统，同时识别并管理相关风险。

添加微信：lanjunqingbao2081

获取报告目录

👇👇

加入蓝军开源情报星球会员 免费下载2200+资料

👇👇

原价999元！ 星球试运营期间199元！ 试运营结束，恢复原价！

扫码了解、加入

👇👇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：蓝军开源情报 所长007《在动态的网络/混合环境中的挑战与机遇》