当攻击者不再是“人”,当防御者变成“AI”,我们以为固若金汤的身份城墙,正在无声崩塌。
今天的头条,三则新闻并置,看似毫无关联:
第一则,美国司法部摧毁了由300万台设备组成的IoT僵尸网络,它们曾制造了破纪录的31.4 Tbps DDoS攻击。
第二则,谷歌威胁情报小组(GTIG)披露了DarkSword,一套针对iPhone的完整漏洞利用链,利用6个漏洞(其中4个为零日),从2025年11月起在沙特、土耳其、乌克兰等地的手机上悄无声息地运行。
第三则,Anthropic的Claude Code正在全球数以万计的开发者机器上自主运行——它读文件、执行shell命令、调用外部API,拥有开发者的全部权限。而安全团队,完全看不见它在干什么。
如果你退后一步,把这三件事放在一起看,会发现它们指向同一个本质:2026年的安全危机,本质上是一场“身份危机”。
一、攻击者不需要是人了
先说DarkSword。
在传统认知里,iOS零日漏洞是国家级武器。NSO Group的Pegasus之所以能卖出天价,正是因为这种能力极其稀缺。但DarkSword改变了游戏规则。
谷歌的报告显示,这套工具被多个威胁行为者使用。其中包括疑似俄罗斯间谍组织UNC6353,也包括动机完全不同的经济犯罪团伙。
这意味着什么?漏洞利用市场已经完成了“商品化”。 你不需要是国家情报机关,不需要雇佣顶级漏洞研究员,只需要有钱,就能在黑市上买到这种国家级武器。
DarkSword的攻击手法极具“现代性”——打了就跑(hit-and-run)。感染过程几秒到几分钟内完成数据窃取和日志清理,然后消失。这不是传统APT的“潜伏-持久化-横向移动”,更像是街头抢劫:快进快出,不留痕迹。
再看那个31.4 Tbps的IoT僵尸网络。300万台设备,操控者不需要理解每台设备的固件,他们只需要知道默认密码是什么,或者哪个CVE还没被修复。当300万台设备同时按下“发送”按钮,互联网基础设施瞬间瘫痪。
这两件事的共同点:攻击者的“身份”已经不再重要。 重要的是他们能获得什么“能力”。一个技术水平平庸的犯罪团伙,通过购买DarkSword可以获得NSO级别的移动端渗透能力;一个独狼黑客通过Shodan搜索加公开PoC,可以组建军事级的DDoS基础设施。
这就是“能力民主化”。 以前安全行业的防御模型建立在一个假设上:高级攻击来自高级攻击者。这个假设在2026年,彻底过时了。
二、防御者的AI也在失控
现在翻到硬币的另一面。
Beyond Identity今天发布了一篇关于Ceros的文章——一个用来监控Claude Code行为的“AI信任层”。文章开篇就直指要害:
“安全团队花了数年时间为人类用户和服务账户构建身份与访问控制。但一种新的行为者已经悄悄进入了大多数企业环境,它完全在这些控制之外运行。”
Claude Code是Anthropic的AI编程Agent。它在开发者的本地机器上运行,继承了开发者的全部权限——文件系统、shell、API密钥、生产环境凭证。它执行复杂的多步骤操作序列,没有人类明确编程过。它的通信看起来像正常的网络流量。
最关键的是:它在网络层安全工具看到任何东西之前,就已经完成了所有操作。
等等,这听起来是不是很熟悉?
“在受害者不知情的情况下,获取全部权限,执行复杂操作,窃取数据,然后消失。”
这不就是DarkSword干的事吗?
当然,Claude Code是“好人”。它是来帮你写代码的,不是来偷比特币的。但从安全架构的角度看,一个拥有全部权限、自主决策、不留审计日志的实体——无论它是恶意软件还是AI助手——对安全团队来说都是同一个问题。
更可怕的是,Claude Code本身也存在安全漏洞。Check Point Research发现,通过恶意仓库配置文件(Hooks和MCP服务器),攻击者可以在开发者打开项目时触发远程代码执行,甚至窃取Anthropic API密钥。一旦密钥泄露,攻击者就能访问整个Workspace中的共享文件,从个人开发环境横向移动到企业云端。
MIT上个月的研究证实了最坏情况:通过MCP接口,一个AI Agent可以在不到1小时内完成域控并规避EDR。而Gartner预测到2028年,企业环境中人机身份比例将达到82:1。
82:1。每个人类用户对应82个非人类身份——AI Agent、服务账户、IoT设备、API密钥。
我们的安全体系是为“人类”设计的。但现在,人类已经是少数派了。
三、毛球定理告诉我们什么
做安全的人会本能地说:“那就给AI Agent也加上身份管理、权限控制、审计日志。”这没错,Ceros做的就是这件事。但我想从一个更深层的角度来分析这个问题。
拓扑学里有个定理叫 “毛球定理”(Hairy Ball Theorem) :你不可能把一个球面上的毛全部梳平,至少有一个点是“梳不平”的——一个奇点。
映射到今天的安全问题:
攻击面是一个球面,漏洞(奇点)是必然存在的。 DarkSword利用了6个漏洞,其中包括苹果dyld中存在了16年的CVE-2026-20700。16年。苹果不是没有安全团队,不是没有代码审计。但“太基础、没人看”的组件,就是球面上那个注定梳不平的点。
AI Agent创造了新的球面。 以前你只需要管理人类身份和服务账户——一个曲率较低的球面,奇点有限。但现在每个AI Agent都是一个新的维度,球面的曲率急剧增大,奇点数量爆炸。Ceros试图在每个奇点上放一个监控器,但毛球定理告诉你:你永远在追赶,因为新的奇点会不断产生。
真正的解法不是“梳毛”,而是“改变拓扑”。 甜甜圈(环面)可以梳平,球面不行——区别在于拓扑结构。如果你反复遇到同类问题,不应该更努力地梳毛,而应该改变架构本身。
四、耗散结构:安全是过程,不是状态
热力学第二定律说:封闭系统的熵只会增加。安全系统也是如此——你今天的安全状态,明天一定会退化。不是因为你的团队不努力,而是因为这是物理定律。
但普里高津(Prigogine)证明了:开放系统通过持续输入能量,可以维持远离平衡态的有序状态——耗散结构。生命就是一个耗散结构:它通过不断消耗能量来对抗熵增。
安全也必须是一个耗散结构。
这意味着什么?意味着你不能指望“部署一次,永远安全”。这是一个热力学上的幻想。你需要:
持续的能量输入:漏洞扫描、红队演练、威胁情报更新
持续的结构重建:不可变基础设施(用替换对抗退化)
持续的熵监测:一个不断检测系统状态偏离基线的守护者
Ceros本质上就是在做麦克斯韦妖(Maxwell‘s Demon)的工作:它坐在开发者机器旁边,实时监控AI Agent的每一个行为,生成密码学审计日志。这是正确的方向。但麦克斯韦妖本身也需要能量——你需要有人维护这个监控系统,而且监控系统本身也会退化。
这就是安全行业的宿命:你在跟热力学第二定律作战。你永远不会赢,但你停下来就会死。
五、不是结论的结论
回到开头的三个新闻:
300万台IoT设备的僵尸网络被摧毁了。但新的僵尸网络已经在路上。因为IoT设备的默认密码问题从来没有被真正解决——这是一个拓扑约束。
DarkSword被发现了,苹果修补了这6个漏洞。但新的exploit kit已经在暗网上酝酿。因为商品化漏洞市场的经济激励从来没有消失——这是一个博弈均衡。
Claude Code正在获得越来越强大的能力。Ceros这样的“AI信任层”会越来越多。但AI Agent的权限膨胀趋势不会逆转,因为企业需要效率——这是一个经济约束。
2026年安全的核心矛盾不是“攻击 vs 防御”,而是“身份 vs 能力”。
旧世界里,身份决定能力:你是管理员,所以你有管理权限。
新世界里,能力决定身份:你能买到exploit kit,所以你是“高级攻击者”;你是AI Agent,所以你有人类的全部权限。
当身份和能力脱钩的时候,基于身份的安全模型就会崩溃。不管你是ZTNA还是IAM,底层假设都是“知道你是谁 = 知道你能做什么”。但当一个AI Agent拥有了开发者的全部权限,当一个脚本小子拥有了国家级漏洞利用工具,这个等式就不成立了。
下一代安全架构需要从 “Who are you?”转向“What are you doing, and should you be doing it?”
从身份验证到行为验证。从认证到实时推理。
这不仅仅是技术问题。这是安全哲学的范式转换。
数据来源:Google Threat Intelligence Group (DarkSword)、US DOJ (IoT Botnet)、Beyond Identity (Ceros/Claude Code)、Check Point Research (Claude Code CVEs)、MIT (MCP Agent research)、Gartner (82:1 identity ratio)
@skyeye001 | 2026-03-21