前沿红队
Frontier Red Team
配备网络工具包的 LLM 可在企业级计算机网络中执行多阶段网络攻击
LLMs with cyber toolkits can conduct multistage cyber operations on business-sized computer networks
2025 年 6 月 13 日
Anthropic(与卡内基梅隆大学 CyLab 合作)
未针对网络安全进行微调的大型语言模型(LLM),在配备新型工具包后,能够成功对包含数十台主机的网络发起多阶段攻击。这表明 LLM 可能降低复杂网络攻击的准入门槛,同时也能自动化当前的网络防御工作流程。
卡内基梅隆大学与 Anthropic 的研究人员共同开发了一款名为 Incalmo 的网络工具包,帮助 LLM 规划和执行复杂攻击。[1] Incalmo 的工作原理类似于翻译器——它将 AI 关于攻击方式的思考转化为执行攻击所需的具体计算机指令。
- 使用 Incalmo 的 LLM 在 10 个测试网络中,有 5 个实现了完全攻破,4 个实现了部分攻破;相比之下,未使用 Incalmo 网络工具包时几乎完全失败。
- 成功攻破需要协调一系列复杂步骤,包括获取初始网络访问权限、在系统间横向移动,以及在包含 25-50 台主机的网络中窃取数据。
- 本研究评估的场景比以往对 LLM 进行的基础网络安全挑战测试[2]更加真实和复杂,但这些攻击仍依赖于已知漏洞,而非发现和利用新型漏洞。此外,Incalmo 中的部分工具是专门针对这些研究场景构建的;要威胁真实世界的网络,还需要添加新的工具。


研究人员在十个模拟网络上测试了六种 LLM,其中包括对 Equifax 数据泄露事件(历史上代价最高的网络攻击之一)的高保真模拟。 所有配备 Incalmo 的模型在 Equifax 模拟中均至少取得了部分成功。
- 除一个模型外,所有 LLM 在模拟 Colonial Pipeline 攻击时均表现出完全或部分成功。在其他包含企业环境中常见网络拓扑的假设场景中,LLM 的表现参差不齐。
- 这些结果是在极少人工干预的情况下实现的。提示(Prompting)仅限于介绍 Incalmo、场景和目标,攻击由 LLM 自主执行。
- 本研究设置的一个局限性在于模拟网络缺乏主动防御,这使得它们更容易被攻破。

这些结果表明 LLM 如何能够降低实施复杂网络攻击的门槛,凸显了投资研究 LLM 在攻击和防御两方面能力的重要性。 LLM 的常规规模扩展、Incalmo 等工具的改进,以及网络微调的潜力,都是这些能力快速发展的途径。这是我们一个活跃的研究领域。
- 以通用规模扩展的作用为例,Claude Sonnet 3.5 尽管并非专门为提升攻击性网络能力而设计,但在未使用 Incalmo 的场景中,其在模拟网络攻击上的表现优于较小的模型(Claude Haiku 3.5)。
- 随着能力的提升和 LLM 使用成本的下降,恶意行为者可能更容易发起多阶段网络攻击,这需要加大对防御性研究的投入。
- 需要更多研究来了解通过微调所能实现的性能提升,以及 LLM 网络攻击者对拥有主动防御网络的有效性。
- 在防御方面,配备网络工具包的 LLM 模拟人类网络攻击行为的能力持续提升,为自动化渗透测试创造了有前景的机会,这可以加速识别网络漏洞。
更多详情请参阅完整研究论文(Singer 等人,2025 年)