AI“编造”出与“中国间谍”关联报告,PaloAltoNetworks因此坐上被告席!

admin 2026-07-08 04:55:12 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全公司KoiSecurity(后被PaloAltoNetworks收购)利用AI平台生成威胁情报报告,凭空捏造关键证据,将美国初创公司MeetingTV诬陷为所谓中国网络犯罪组织的公开前台。该报告被全球安全厂商自动采信,导致MeetingTV基础设施遭全网封杀,业务停摆。MeetingTV已提起诉讼,指控其诽谤与商业诋毁。此案深刻暴露了AI生成威胁情报缺乏人工核验的巨大风险,建议安全行业必须建立严格的AI输出审核机制,防止自动化系统误判摧毁无辜企业,遭遇不实指控时应果断采取法律手段维权。 综合评分: 86 文章分类: 威胁情报,AI安全,安全大事件


cover_image

AI“编造”出与“中国间谍”关联报告,Palo Alto Networks因此坐上被告席!

原创

网空闲话 网空闲话

网空闲话plus

2026年7月5日 06:20 北京

在小说阅读器读本章

去阅读

2025年12月30日,网络安全公司Koi Security发布了一份重磅威胁情报报告,揭露了一个名为“DarkSpectre”的“中国网络犯罪组织”。报告声称该组织通过恶意浏览器扩展程序感染了880万用户,窃取企业会议情报。同日,美国视频会议初创公司MeetingTV发现,自己的网站和域名在全球范围内被主流安全厂商和运营商集体封杀,被标注为“恶意软件”和“命令与控制服务器”。经过追溯,MeetingTV震惊地发现,在那份报告中,自己的全部基础设施被定义为该“中国犯罪组织”企业间谍行动的核心组件。而当2026年4月网络安全巨头Palo Alto Networks完成对Koi Security的收购后,这份由AI生成的虚假报告所引发的法律战火,也烧到了这家行业巨头身上。

天降横祸:正常经营突遭全网封杀

MeetingTV是一家美国视频会议技术公司,主营业务包括两部分:一是公开网络研讨会的搜索引擎,聚合和索引各类可公开注册的网络研讨会信息;二是名为Zoomcorder的个人会议录制服务,用户可录制自己的会议。

2025年12月31日,也就是Koi Security发布报告的第二天,公司创始人兼CEO迈克尔·罗伯逊突然发现业务遭遇重创。他并非通过官方渠道获知原因,而是在发现服务无法正常访问后,逐一联系各大安全公司和网络运营商进行排查。

根据MeetingTV于2026年5月13日向美国加州南区联邦地区法院提交的第一修正起诉书,在报告发布后的数小时内,全球范围内的安全厂商和ISP便自动摄取了报告中的“失陷指标”,并迅速对其域名和基础设施进行了拦截和封锁。起诉书详细列举了封杀名单:美国最大移动运营商Verizon开始屏蔽meetingtv.us;美国最大有线网络运营商Spectrum将meetingtv.us标记为恶意软件;知名安全厂商Avast将相关流量标记为钓鱼攻击;思科Talos、Fortinet、Cloudflare等行业巨头也相继实施了封堵。

尤为关键的是,Palo Alto Networks自身将meetingtv.us和webinarstvus.cloudfunctions.net分类为“恶意软件”,将zoocorder.firebaseio.com标记为“命令与控制”基础设施,并在其产品和威胁情报系统中持续分发这些错误分类。

罗伯特森将全网封杀形容为“死刑判决”:“如果互联网上的人们无法访问你的公司,那就是死刑判决。再加上现在所有的大语言模型都在复述我们与‘中国网络罪犯’有关,这种数字烙印要怎么才能洗掉?”

报告真相:一个AI“编造”的关键证据链

这份由Koi Security发布在koi.ai博客上、题为《DarkSpectre:揭露感染880万浏览器背后威胁行为者的真面目》的报告长达约32页,署名作者为Koi研究团队成员Tuval Admoni和Gal Hachamov。报告描绘了一个名为“DarkSpectre”的“资金雄厚的中国网络犯罪组织”,声称该组织运作超过7年,通过三大行动感染了超过880万用户。报告将其中一项行动命名为“The Zoom Stealer”,指控其通过伪装成会议生产力工具的浏览器扩展程序,窃取来自28个以上视频会议平台的2.2万用户的企业会议情报。

报告将MeetingTV的两款合法产品及域名直接定义为“Zoom Stealer”行动的核心基础设施,更明确声称Zoomcorder服务被用作该犯罪行动的“公开前台”,以此“为基础设施提供可信度,同时充当变现渠道”。

然而,MeetingTV在起诉书中系统性地逐一驳斥了这些指控。公司解释称,其服务完全合法、透明——Zoomcorder仅根据用户的明确指令和提供的凭证进行录制,录制内容仅授权给发起者本人访问,并在约三周后自动删除。其网络研讨会搜索引擎仅索引公开可用的信息,不涉及任何秘密数据收集。此外,所有扩展程序均通过Chrome Web Store公开分发,在安装时明确向用户披露了权限需求和相关功能说明,用户在知情同意的前提下主动接受。

起诉书披露了案件中最为关键、也最为荒诞的证据——连接一切的“技术枢纽”竟是一个根本不存在的扩展程序。报告多次强调一个名为“Twitter X Video Downloader”的扩展程序是关键的发现节点和“技术枢纽”,声称它同时连接到DarkSpectre核心行动之一的“ShadyPanda”基础设施和“Zoom Stealer”行动,是将它们三者串联成“同一个中国犯罪组织”的唯一桥梁。但MeetingTV在起诉中指出,报告虽在文字和图示中反复强调该扩展的核心地位,却在列出的17个扩展ID中完全没有该程序的踪影。MeetingTV律师在2026年2月18日专门发邮件要求Koi Security提供该扩展的ID或任何技术证据,对方至今未能提供。

基于此,罗伯特森提出了AI“幻觉”指控。他认为,Koi Security使用了其自研的名为“Wings”的AI分析平台来生成威胁报告,而该大语言模型“编造”了这个虚假的关键证据和关于MeetingTV的错误结论,而Koi Security未经任何人工核验就将AI输出作为事实公开发布。他质问:“如果这个软件根本不存在,那么即使是再初步的分析也不可能进行,但他们却把我们的网址、服务和软件全部标记成了罪犯。”

补救与推诿:一份连AI都在不断复述的诽谤

2026年2月11日,发现自己被污蔑后,罗伯特森通过Koi.ai网站联系表单和电子邮件向Koi Security发送了正式的撤稿要求函,但未获回应。次日,他直接发送电子邮件给Koi Security CEO阿米特·阿萨拉夫。根据起诉书提供的邮件记录,阿萨拉夫当日回复称:“我错过了你的邮件,让我调查一下,我们无意造成任何伤害,我会确保尽快在内部解决这个问题。”在随后的回复中,阿萨拉夫称已将meetingtv.us从IOC列表中移除,但坚称MeetingTV域名确实出现在其分析的恶意代码中,且“我们从未声称过威胁行为者与贵公司存在任何关联”。

这种说法在MeetingTV看来无法成立。起诉书明确指出:“报告将‘Zoom Stealer’行动完全定义为原告的基础设施,然后将该行动归入DarkSpectre这个‘中国犯罪组织’。在整个网络安全生态中,将特定域名、端点或软件列为恶意行动的IOC,本身就是一种责任归属——安全厂商和自动化系统正是将其理解为事实判定并据此采取拦截行动的。”

2026年2月12日,Koi Security对报告进行了静默更新,保留了原始发布日期不变,仅在不起眼位置添加了一段声明,称“没有证据表明meetingtv.us域与恶意基础设施或报告中描述的威胁行为者组织有关联”。但该更新并未触及其他同样被标记的域名,也未触及报告的核心叙事——仍将“Zoom Stealer”描述为“企业间谍基础设施”,并将其归属于中国犯罪组织DarkSpectre。

更严重的是,起诉书指出,即便在更新之后,Koi Security旗下的威胁情报数据库Koidex中仍保留着至少7条将meetingtv.us标记为恶意的记录、8条针对webinarstvus.cloudfunctions.net的记录和2条针对zoocorder.firebaseio.com的记录,持续向使用者输出错误的安全判断。

Palo Alto Networks收购:从报告发布到诉讼全面升级

这起诉讼的另一个焦点是收购时间线。报告发布于2025年12月30日,2026年4月14日,Palo Alto Networks宣布完成对Koi Security的收购。这意味着在Palo Alto Networks进行尽职调查和完成收购期间,这份极具争议的报告一直是Koi Security商业价值和威胁情报能力的公开证明。

MeetingTV在起诉书中暗示,Koi Security在巨大的商业压力下发布了未经严格验证的报告,以在收购谈判中展示其“Wings”AI平台的“爆炸性”能力,从而抬高公司估值。起诉书直言,被告在急于促成交易的商业压力下,“将未经验证的AI输出包装成一份长达32页的轰动性营销文件,以原告的声誉和业务为代价”。

收购完成后,2026年4月15日,MeetingTV的律师向Palo Alto Networks的总法律顾问发送了正式信函;4月28日,罗伯特森又直接向Palo Alto Networks公司CEO尼基什·阿罗拉发送电子邮件,要求其删除虚假报告、发布完整撤回声明、将MeetingTV域名从Palo Alto自身的黑名单中移除,并协助解决其他公司的封锁问题。然而,Palo Alto Networks并未采取实质行动。起诉书特别指出,Palo Alto Networks在收到多次关于报告失实的正式通知后,其威胁情报和URL过滤系统仍持续将MeetingTV的域名分类为“恶意软件”和“命令与控制”基础设施,构成了“独立的、明知故犯的再传播行为”,是另一起可起诉的侵权行为。

Palo Alto Networks发言人在接受The Register采访时表示,公司“已知悉MeetingTV提起的诉讼”,但拒绝对具体指控作出回应,仅表示“Koi的研究体现了其为用户和企业识别并揭露威胁的承诺,我们期待通过适当的法律程序解决这一争议”。

行业警示:当AI能“一键判刑”而无须举证

本案揭示了AI时代一个危险的技术治理灰色地带:当私营安全公司使用不可靠的AI工具生成涉及严重刑事指控的报告,而全球安全系统自动化采信为事实时,一个完全无辜的企业可以在数小时内被摧毁,且几乎没有有效的救济途径。

MeetingTV还将矛头对准了Koi Security的商业模式。起诉书指出,该报告并非独立研究,而是一份商业营销资产——报告使用耸人听闻的威胁叙事制造市场紧迫感,将自身AI平台定位为唯一解决方案,并在文末配有“预约产品演示”的明确销售引导按钮。Koi Security的CEO阿萨拉夫本人也曾亲自撰写多篇采用相同模板的报告。起诉书据此主张报告属于“商业言论”,这大大削弱了Koi Security可能以“言论自由”或反SLAPP法案进行抗辩的法律空间。

罗伯特森总结道:“我们正站在一个AI将被用来对人生做出关键决策的时代门槛上。你的纳税记录、信用评级、大学录取、房贷资格、是否被列入禁飞名单——这些决策能否在没有人类监督的情况下做出?人们能否享有正当程序——看到针对自己的指控、提交自己的证据、拥有中立的仲裁者?在我们的案子里,这些都没有发生。他们单方面宣布我们是罪犯,就把它公之于众了。”

MeetingTV的诉讼主张包括:诽谤本身、商业诋毁/贸易诽谤、违反《兰哈姆法案》(虚假广告)、违反加州《反不正当竞争法》和《虚假广告法》。鉴于Palo Alto Networks在收购后仍持续发布错误分类,MeetingTV请求法院对被告下达永久禁令,要求其发布明确而显著的撤稿声明、通知所有已知的第三方接收者纠正错误信息,并彻底删除所有相关系统的错误标记。

此案的走向,无疑将对全球网络安全行业的威胁情报发布规范、AI辅助分析的可靠性标准,以及安全厂商在自动化威胁判定中的责任边界产生深远影响。

【闲话简评】

长期以来,凡是涉及中国的网络威胁溯源报告,总能在国际舆论场迅速博取眼球、赢得关注,甚至成为一些安全公司快速建立品牌知名度的捷径。然而,Koi Security这次彻底失算了。一份建立在AI“幻觉”之上、关键证据根本不存在的报告,不仅把自己送上了法庭,也让收购方Palo Alto Networks陷入了严重的声誉泥潭——知悉不实信息后仍继续分发错误的安全判定,暴露了其作为行业巨头在威胁情报治理上的傲慢与失灵。更深层的问题在于:指控MeetingTV为中国犯罪组织“公开前台”的整个叙事,其核心证据链——“Twitter X Video Downloader”扩展程序——已被证明根本不存在。既然串联所谓“中国网络犯罪组织”DarkSpectre与MeetingTV基础设施的唯一技术枢纽是虚构的,那么这份报告所宣称的一切与中国有关联的指控,其真实性自然也应当被彻底质疑。连关键证据都可以凭空捏造,所谓“中国威胁”的宏大叙事又从何谈起?此案深刻警示国内安全行业:面对任何涉及我方企业或国家的威胁溯源指控,我们的企业和研究者要有敢于质疑、敢于较真、敢于拿起法律武器正面硬刚的胆识和能力。技术上的反驳、法律上的反击,二者缺一不可。沉默和忍让,只会让虚假指控在AI时代被无限放大、永久烙印。

参考文献

[1] SecurityLab.ru. «Публичный фасад» китайской мафии. Cтартап судится с Palo Alto Networks из-за отчёта о киберугрозах [EB/OL]. 2026-07-04. https://www.securitylab.ru/news/574424.php

[2] Jessica Lyons. Startup sues Palo Alto Networks’ Koi Security, saying an AI-hallucinated report falsely linked it to Chinese espionage [EB/OL]. The Register, 2026-07-02. https://www.theregister.com/legal/2026/07/02/startup-sues-palo-alto-networks-koi-security-saying-an-ai-hallucinated-report-falsely-linked-it-to-chinese-espionage/5266201

[3] Tuval Admoni, Gal Hachamov. DarkSpectre: Unmasking the Threat Actor Behind 8.8 Million Infected Browsers [EB/OL]. Koi Security Blog, 2025-12-30. https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers

[4] United States District Court, Southern District of California. MeetingTV Inc. v. Koi Security Inc. et al., First Amended Complaint, Case No. 3:26-cv-01705-AJB-MMP, Document 23, Filed 05/13/26 [EB/OL]. https://www.theregister.com/files/2026/07/02/MeetingTV%20FAC%20filed%205.13.26-%20Compressed.pdf


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网空闲话plus 网空闲话 网空闲话《AI“编造”出与“中国间谍”关联报告,Palo Alto Networks因此坐上被告席!》

评论:0   参与:  0