文章总结： 文章指出多态AI恶意软件的实际威胁被厂商炒作夸大，攻击者更多利用AI降低门槛、加速迭代及生成高质量钓鱼内容，而非制造难以检测的自我修改代码。传统防御技术仍有效。建议CISO警惕营销噱头，重点关注行为监控、身份安全及响应自动化，以应对AI带来的规模化与效率攻击。 综合评分： 94 文章分类： AI安全,恶意软件,威胁情报,安全意识

真威胁还是厂商噱头？多态 AI 恶意软件颠覆认知

原创

Ax Sharma

安全喵喵站

2026年1月12日 08:30 广东

我们正处在 AI 驱动恶意软件黎明的前夜——还是在被厂商与攻击者夸大其词的迷雾里？

近期 Google 与 MIT Sloan 的报告再度点燃话题：自主攻击、多态 AI 恶意软件能以机器速度规避防御。

安全资讯、行业媒体乃至地下论坛的标题迅速刷屏，厂商顺势推销“AI 增强防御”。

但喧嚣之下，现实远没那么戏剧化。

没错，攻击者在试验 LLM；没错，AI 能辅助编写恶意代码或制造表层多态；没错，CISO 必须关注。

但“AI 自动生成高深恶意软件”或“彻底击穿防御”的说法具有误导性。AI 的理论潜力与实际效用之间仍有巨大鸿沟。

对安全负责人而言，关键是认清当下的真实威胁、识别夸大的厂商宣传，并为值得提前布局的近未来风险做好准备。

到底什么是多态恶意软件？

多态恶意软件指的是能在保持核心功能不变的情况下，自动改变自身代码结构的恶意程序。其目的是规避基于特征码的检测——让二进制层面的每个样本都不相同。

这个概念一点也不新鲜。早在 AI 出现前，攻击者就用加密、加壳、插入垃圾代码、指令重排和变异引擎，从一个恶意软件家族生成数百万变种。现代终端平台更多依赖行为分析，而非静态特征码。实际上，眼下大多数所谓的“AI 驱动多态”，只是把确定性变异引擎换成由大语言模型驱动的概率性引擎。理论上，这可能带来更多变化；但现实中，它相比现有技术并没有明显优势。

恶意软件分析师兼威胁情报研究员 Marcus Hutchins 直言，AI 多态恶意软件“是个很有趣的研究玩具”，但不会给攻击者带来决定性优势。他指出：非 AI 技术可预测、廉价、可靠；AI 方法需本地模型或第三方 API，且会带来运维风险。

他举例 Google 的 “Thinking Robot” 恶意代码片段——该代码调用 Gemini AI 引擎生成用于规避杀毒的代码。实际上，它只是让 AI 生成一个没有明确功能的小片段，并不能保证在真实恶意链里有效运行。Hutchins 在已删除的 LinkedIn 帖子里写道：

“它没有说明这段代码块该做什么、如何规避杀毒，只是假定 Gemini 天生知道怎么躲 AV（其实并不知道）。也没有任何熵机制确保‘自修改’代码与之前版本不同，更没有护栏保证它能正常工作。函数还被注释掉，根本没在使用。”

正如这位研究者所说，单靠规避在战略上没有意义，除非它能稳定支持可用的恶意功能。成熟的威胁行为者更看重可靠性而非新奇，而传统多态技术早已满足这一需求。

AI 对攻击者的真实助益在哪？

目前 AI 的真正影响，并非自主恶意软件，而是在生成恶意载荷时的速度、规模与可及性。

可以把大语言模型看作开发助手：调试代码、跨语言转换样本、重写和优化脚本、生成模板化的加载器或阶段器。这降低了新手的技术门槛，也让老手迭代更快。

社会工程也在升级。钓鱼攻击更干净、更有说服力，且极易规模化。AI 能快速生成区域化诱饵、行业匹配话术和精修文本，去掉防御方曾经依赖的语法破绽。本来就靠欺骗而非高技术含量的商业邮件入侵（BEC）攻击，尤其受益于这种变化。

生成式 AI 能给恶意代码制造表层变化——比如重命名变量、轻微调整结构。这偶尔能绕过基础静态扫描，但很少能骗过现代行为检测，还常常引入不稳定因素，这对资源充足、追求稳定运行的犯罪团伙来说是不可接受的。

对于需要高在线率与可靠性能的成熟攻击组织，这种不可预测性反而是劣势。

总体效果并非提升技术复杂度，而是降低门槛：更多攻击者（哪怕经验不足）也能造出“够用”的恶意软件。

今年初，一款粗糙的勒索软件以测试扩展的形式出现在 Visual Studio Marketplace。Secure Annex 的 John Tuckner 称之为“AI 垃圾”勒索软件——代码写得差、运行不稳、技术上毫无先进性。该样本凸显的不是 AI 的巧妙，而是AI 辅助代码被随意打包分发的容易程度。

Tuckner 在 X 上发帖：

“VS Marketplace 里出现了勒索软件，这让我很担心。显然是用 AI 生成的，错误一堆，比如把解密工具直接放进扩展里。如果这种货色都能上架，那更‘高级’的会酿成什么影响？”

AI 夸大宣传引发业界反弹

营销驱动的 AI 叙事与一线从业者的怀疑之间存在明显落差。

近期 Anthropic 报告宣称发现一场“高度复杂的 AI 主导间谍行动”，目标是科技公司与政府机构。有人视其为生成式 AI 已嵌入国家级网络行动的铁证，但专家们并不买账。

资深安全研究员 Kevin Beaumont 批评该报告缺乏实操细节，也未提供新的威胁指标。BBC 网络记者 Joe Tidy 指出，相关活动很可能只是已知攻击活动的延续，而非新型 AI 威胁。另一位研究者 Daniel Card 则强调：AI 能加速工作流，但不会自主思考、推理或创新。

这些讨论中，有一个一致的模式——AI 炒作在技术审视下不堪一击。

为何 AI 多态恶意软件还没“接管”战场

既然 AI 能加速开发、生成海量代码变种，为什么真正有效的 AI 多态恶意软件仍未普及？原因很现实，而非哲学层面的难题。

传统多态已够用商用加壳与加密工具能以低成本、可预测地批量生成大量变种。对攻击者来说，换成可能破坏功能的概率性 AI 生成，收益有限。

行为检测削弱优势即使二进制文件不同，恶意软件仍需执行恶意动作（如 C2 通信、提权、窃取凭据、横向移动），这些行为会产生与代码结构无关的遥测数据。现代 EDR、NDR、XDR 平台能可靠检测这些模式。

AI 可靠性问题大语言模型会“幻觉”、误用库、错误实现加密。代码看似合理，却在真实环境中失效。对犯罪集团而言，不稳定是严重的运营风险。

基础设施暴露风险本地模型可能留下取证痕迹，第三方 API 易触发滥用检测与日志记录。这些风险进一步劝退纪律严明的威胁行为者。

因此，多数成功的对手仍会把 AI 用于研究、钓鱼、翻译、自动化等辅助任务，而不会完全信赖它来生成核心攻击载荷。

CISO 与防御者该警惕什么

真正的危险不在于低估 AI，而在于误解它的风险。“自主自我改写恶意软件”并非迫在眉睫的威胁。相反，攻击者只是更快、更大规模地运作：

1. 自动化与快速传播：像 Shai-Hulud这样的循环恶意活动表明，攻击者能用自动化大幅提升效率、波及范围和破坏程度，而不必引入全新技战术。（该活动用的是自动化，未必是 AI。）后续迭代中，自动化传播让恶意软件在环境与下游依赖中急速扩散，尽管载荷本身没变。这意味着防御者仍能依靠稳定的指标（哈希、静态外泄 URL、YARA 规则），但在影响蔓延至注册表、构建系统和开发者环境前，响应时间大幅缩短。风险的变化不是来自更聪明的恶意软件，而是机器速度下的更快、更广执行。

2. 快速变种迭代：基于上一点，AI 能缩短从构想到部署的时间。恶意软件家族可在单次事件中循环变种，提升行为检测、内存分析和回溯狩猎的价值。

3. 规模化社会工程：AI 生成的钓鱼、借口话术与定制化消息，质量和覆盖范围显著提升。身份基础设施（凭据、MFA、访问流程）仍是主要攻击面。防御重点应放在邮件安全、用户行为分析与认证韧性。

4. 数量与噪音：更多攻击者能造出“够用”的恶意软件，低质量但可操作的威胁数量上升。SOC 的自动化与优先级处理变得至关重要，防止响应团队被噪音淹没、陷入倦怠。

5. 对厂商保持怀疑：所谓“AI 专属防护”的营销承诺，并不等于更优检测能力。CISO 应要求透明测试、真实数据集、已验证的误报率，并确认“新颖”产品的防护能力超出实验室条件。

现实是：AI 正在重塑网络犯罪，但并非厂商描绘的那种电影化场景。

它的影响在于速度、规模与可及性，而非能突破现有防御的自我修改恶意软件。成熟威胁行为者依旧依赖成熟技术；多态并非新事物，行为检测依然有效，身份仍是攻击者的主要入口。今天的“AI 恶意软件”更应理解为AI 辅助开发，而非自主创新。

对 CISO 的关键启示：攻击者的时间与精力被压缩，优势转向能自动化、快速迭代并保持可见性与控制力的一方。应对之道是加码行为监控、身份安全和响应自动化。

眼下，臆想的自我觉醒恶意软件风险，远低于 AI 给攻击者带来的现实效率提升：更快的活动节奏、更大的规模、更低的滥用门槛。

炒作声量虽大，但这种加速带来的实战影响，才是领导层判断最关键的地方。

原文链接：

https://www.csoonline.com/article/4101491/polymorphic-ai-malware-exists-but-its-not-what-you-think.html

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，**《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站 Ax Sharma《真威胁还是厂商噱头？多态 AI 恶意软件颠覆认知》