多伦多大学研究：AI 蠕虫可低成本攻击在线设备，网络安全面临新挑战！

多伦多大学研究人员证明：AI 蠕虫可攻击任何在线设备，网络安全面临新威胁

这项研究在一个安全的数字实验室中开展，目的是助力网络安全界为即将来临的威胁做好准备。

研究人员 Nicolas Papernot 及其合作者展示了可利用公开的 AI 模型驱动一种蠕虫，该蠕虫在传播过程中能调整策略。

发布时间为 2026 年 6 月 2 日，作者是 [Adina Bresge](/news/authors-reporters/adina-bresge)。

多伦多大学的一个研究团队发现了一类新的网络威胁，这类威胁能让黑客以极低的成本获取更大的权力和攻击范围。它可借助免费的 AI 模型构建，任何在线设备都可能成为目标，而现有的网络防御措施还未做好应对准备。

研究人员于 6 月 2 日公布了他们的研究成果，他们被认为是首个证明可利用公开的 AI 模型驱动一种蠕虫的团队。这种蠕虫在从一个设备传播到另一个设备时能调整策略，它可以掌控整个网络，劫持计算能力，让黑客几乎零成本地发动复杂攻击。

该研究在一个与外界隔绝的安全数字实验室中进行，结果显示，技术高超的黑客无需最前沿的 AI 技术或雄厚资金，就能释放出能够实时学习、计算和调整策略的恶意软件。这种恶意软件会在系统中传播，利用每个设备已知的漏洞。

这些发现引发了人们对互联世界安全的深切忧虑，涉及金融系统、医院以及支撑关键服务的网络等各个领域。

“在恶意行为者自己发现这个威胁之前，我们有必要在可控的学术环境中了解它。”Nicolas Papernot 说道。他与位于多伦多大学的 [CleverHans 实验室](https://cleverhans.io/) 成员以及 [Vector 研究所](https://vectorinstitute.ai) 的成员共同撰写了该研究，他本人还是加拿大高级研究协会（CIFAR）的 AI 主席。

Papernot 还是多伦多大学应用科学与工程学院的计算机工程副教授，以及文理学院的计算机科学副教授。他补充说，研究成果在经过仔细审查后才发布，以去除任何可能帮助威胁行为者的信息。他指出，大家都清楚此类研究正在秘密进行。他表示，自己觉得有必要尽早公开研究成果，让研究人员、政策制定者和公众有机会保护自己，应对这一从日常笔记本电脑到 HVAC 系统和电网都受影响的新兴威胁。

在发布之前，研究人员将他们的发现分享给了国家科学、安全和国防机构，并就如何负责任地发布信息寻求建议。

“我们进行这项研究是为了确保我们所依赖的数字生态系统的安全，保护人们的安全。这一发现将我们带入了网络安全的新时代。”Papernot 说。他是多伦多大学 [Schwartz Reisman 技术与社会研究所](https://www.google.com/search?client=safari&rls=en&q=Schwartz+Reisman+Institute+for+Technology+and+Society&ie=UTF-8&oe=UTF-8) 的教师成员，该研究所致力于确保 AI 对每个人都是负责任、包容和有益的。

“通过了解风险，我们现在能够开发出检测和抵御此类威胁所需的对策。”

被低估的威胁

作为全球顶尖的网络安全专家之一，Papernot 让他的实验室致力于预测最重要的安全问题，即使是那些网络安全界尚未关注到的问题。

像 Anthropic 的 Claude Mythos 这样最强大的 AI 模型的兴起，引发了人们对其挖掘隐藏安全漏洞能力的广泛担忧，尽管大型科技公司对其进行严格控制以防止滥用。

然而，Papernot 的团队关注的是任何人都可以免费下载和修改的较小、相对简单的模型的潜在滥用问题。虽然这些“开放权重”的 AI 模型对研究人员和开发者有价值，但它们的安全防护机制可能被去除，并且在具备足够技术知识的情况下，可能被操纵用于恶意目的。

人们通常认为这些模型没有造成实际损害的能力，从而低估了这种风险。因此，Papernot 的团队决定在安全的学术环境中验证这一假设。

构建原型

蠕虫是一种数字入侵者，它会在网络中传播，将自身复制到所接触的每个设备上，无需用户点击，且用户往往毫不知情。如果它在系统中扎根，可能会对整个系统造成严重破坏。传统上，这类攻击遵循人类编写的固定脚本，如果遇到未编程破解的防御措施，就会失败。网络安全专家了解这一点，并建立了相应的防护措施来遏制此类威胁。

对于他们的 AI 驱动版本，Papernot 的团队在一个安全的封闭系统中构建了一个概念验证原型，并采取了广泛的预防措施。他们的实验在模拟的数十个互联设备（包括笔记本电脑、打印机和相机）中，模拟了 AI 驱动蠕虫的能力。

研究人员的工作表明，开放权重的 AI 模型可用于制造一种更复杂的威胁。这种威胁可以评估每个目标，量身定制攻击方式，在克隆到下一个设备之前控制一台机器。蠕虫在深入网络的过程中还会收集信息，每次入侵都会揭示密码和弱点，从而解锁另一台机器。而且由于它能够自适应，没有单一的防御措施可以阻止它。

蠕虫以牺牲受害者为代价扩大其攻击范围。一旦嵌入机器，AI 蠕虫就会窃取处理能力，为其推理和发动下一次攻击提供动力。这种窃取的计算能力推动了它的传播，实际上消除了每次新感染的成本。

“由于时间和计算资源有限，黑客通常不得不优先选择最有价值的目标。”Papernot 说，“但现在，一旦蠕虫被释放，成本几乎可以降为零。”

与之前关于通过 AI 应用传播的蠕虫的研究不同，研究人员的原型代表了一种可以在 AI 系统之外运行，攻击底层软件的威胁，使更多类型的设备面临风险。

“每一个连接到互联网的设备，包括笔记本电脑、相机、智能恒温器等，都可能成为目标，即使不是为了其存储的数据，也可能成为攻击更有价值目标的跳板。”

网络威胁新时代

虽然研究表明 AI 蠕虫不需要昂贵的模型或强大的计算能力，但构建它仍然需要专业技术知识。即便如此，Papernot 怀疑防御的时间窗口正在迅速关闭，网络安全界还没有为即将到来的威胁做好准备。

与强大且受到严格保护的 Mythos 不同，该原型不会挖掘未知的弱点。但在不受控制的环境中，蠕虫可能会获得互联网访问权限，扫描并利用新发现漏洞的警告通知，从而超越旨在阻止它们的软件补丁。

其中一些问题可以通过软件更新解决，但其他问题是人为错误，如弱密码和不规范的 IT 设置，这些问题无法通过推送补丁来解决。这意味着黑客不需要最先进的 AI 模型就能造成前所未有的破坏。

“在互联世界中，没有系统能免受这种威胁。”Papernot 说，“分享这些发现是促使研究人员、行业领袖和政策制定者迅速采取行动的第一步。”

每个设备都可能成为下一次攻击的信息来源，因此加强自身设备的安全设置会使整个网络更难被攻破。Papernot 敦促 IT 专业人员加强可能使系统暴露的安全设置，用户也需要尽自己的一份力。

“每个人都在保障安全方面发挥着作用。”Papernot 说。

这意味着要养成良好的安全习惯：及时更新设备补丁，使用强密码，启用多因素认证。

“我们不能再忽视软件更新了。”他说，“每关闭一扇门，就减少了一个入侵途径，所以花几分钟重启设备是值得的。”

为防御而公开

对 Papernot 来说，发布研究结果本身就是一种防御行为，而学术研究在这方面具有独特的优势。

他提到了名誉教授 Geoffrey Hinton 树立的先例，Hinton 因在推动 AI 革命中的贡献获得了诺贝尔奖。“Geoffrey 一直强调学术研究在制定 AI 监管决策方面的作用。学术界、行业和政府的这种集体行动正是我们应对 AI 驱动的计算机蠕虫这一新威胁所需要的。”

在网络安全研究中，在可控环境中构建概念验证原型以更好地理解新兴威胁并评估防御措施是一种成熟的做法。在学术环境中进行此类研究可确保研究的独立性，维护道德和安全标准，并接受审查和监督，最终使更广泛的社区受益。

Papernot 感谢他的共同作者和合作者 Jonas Guan、Tom Blanchard、Hanna Foerster、Hengrui Jia 和 Gabriel Huang 帮助揭示了这一威胁。

他的实验室已经在努力开发对策。他说多伦多大学是开展这项工作的理想之地。“多伦多大学拥有深厚的 AI 专业知识、跨学科人才、安全的研究环境、基础设施和机构规模，这些对于解决此类重大问题至关重要。解决这个问题需要更多不同规模的开源 AI 模型，以及创建最强大模型的公司提高透明度。”

“我们准备好与世界其他地方合作，寻找解决方案，构建一个更安全的未来。”