AI创业内参
AI风向

【AI风向】多伦多大学造出"零成本"AI蠕虫:能自动推理、适配攻击、跨平台传播,安全防线面临重构

AI创业内参

一种不需要人类操控、能自己思考攻击策略的AI蠕虫被造出来了——更可怕的是,攻击者的边际成本是零。

事件速览

2026年6月3日,多伦多大学研究团队在arXiv上发布论文《AI Agents Enable Adaptive Computer Worms》,展示了一种全新的网络安全威胁:由AI Agent驱动的自适应计算机蠕虫。论文已在Hacker News获得62分热议。

这不是传统意义上的恶意软件。传统蠕虫(如2017年的WannaCry)依赖预定的漏洞,一旦漏洞被修补,传播就被阻断。而这种新型AI蠕虫会针对遇到的每一台目标设备,实时生成定制化的攻击策略。

它是如何工作的?

研究团队的核心设计思路令人不寒而栗——寄生计算。

一旦感染一台设备,蠕虫就在被感染的机器上直接运行开源的轻量级大语言模型(open-weight LLM),用受害者的算力来推理下一步攻击。这意味着:

  1. 受害者自己为攻击买单:攻击者不需要租用GPU、不需要API密钥,感染链上的每一台设备都在免费为蠕虫提供推理能力。
  2. 边际成本趋近于零:传统攻击需要攻击者持续投入服务器租用费用,而这种AI蠕虫每新增一个感染目标的成本为零。
  3. 集中式安全控制完全失效:OpenAI、Anthropic等平台的拒答机制、速率限制、使用限额——对运行在本地的开源模型来说,这些防护措施"结构性地无关"。

在实验中,蠕虫在一个混合了Linux、Windows和IoT设备的网络中成功传播,利用的都是真实企业网络中常见的漏洞。

AI蠕虫自适应攻击链示意图

▲ AI自适应蠕虫攻击链:寄生计算 + 零边际成本传播

为什么这比传统恶意软件危险十倍?

传统安全防护的逻辑是"看住已知漏洞"——打补丁、更新规则库、设置防火墙策略。但AI蠕虫改变了一切:

传统蠕虫AI自适应蠕虫
攻击逻辑写死在代码里根据目标环境实时生成攻击代码
只能利用已知漏洞可以推理、组合、发现新攻击路径
补丁一出就停止传播自动寻找下一扇未关上的门
需要C&C服务器被感染设备自己就是指挥中心

正如一位HN评论者指出的:"假设你感染了一台有GPU的机器,那台机器可以全天候燃烧token,因为第一个受害者已经在付电费了。"

网络安全防线重构概念图

▲ 传统安全防线正在被AI重新定义——从防外部到防内外部AI

这对AI创业者意味着什么?

1. AI Agent的双刃剑特性加速显现

2026年上半年,AI Agent从实验室走向生产环境的速度前所未有。OpenClaw、Hermes Agent、Claude Code等工具让开发者能把多个模型串联成自主工作流。但同样的能力也可以用来构建恶意Agent——这是一个绕不开的安全课题。

多伦多大学的实验本质上就是用开源LLM搭建了一个自主决策的攻击Agent:感知目标环境 → 推理攻击策略 → 执行感染 → 扩展能力圈。这和良性AI Agent的架构完全一致,只不过目标不同。

2. 企业内部AI部署将面临更严格的安全审查

如果你的创业公司正在部署AI Agent做自动化运营、数据处理或客户服务,很快你可能会被客户问到一个新问题:你的Agent会不会被别人拿来攻击我们?

这不是危言耸听。论文明确展示了蠕虫可以在企业网络中利用"常见漏洞"传播——而这些漏洞往往在大公司内部网络中因为无人负责、权限混乱而长期存在。AI蠕虫恰好能系统性地发现和利用这些被忽视的攻击面。

3. "开源模型=安全可控"的假设被打破

AI创业圈有一个流行的观点:使用闭源API(OpenAI、Claude等)有数据泄露风险,所以应该部署开源模型,自己掌控一切。

但AI蠕虫恰恰证明了另一面:当攻击者也能用同样的开源模型来构建自主攻击武器时,"自己部署"反而把攻击面带到了你的内网中。 这不是说开源模型不安全,而是说安全威胁模型需要更新——从"防外部"变成"防内外部AI"。

我们能做什么?

好消息是,目前这仍然是学术研究,在受控环境中演示,没有进入野生产环境。但论文作者明确警告:"自持性AI驱动的网络威胁不再是理论问题。我们必须为自主生成式对手做好准备。"

三个可以立即行动的方向:

  1. Agent安全审计成为刚需:就像应用需要代码审计一样,AI Agent工作流需要"攻击面审计"。你的Agent在什么权限下运行?它能访问哪些系统?如果被劫持,能造成多大破坏?这些都应该有明确的答案。
  2. 网络分段+最小权限原则回归C位:云原生时代,微服务和容器让网络拓扑变得极其复杂。AI蠕虫恰恰能在这类复杂环境中找到脆弱点。把关键数据和Agent运行环境物理隔离,不是过时的做法,而是未来的刚需。
  3. 开源模型使用需要安全包装层:直接在企业内网运行裸开源LLM来驱动Agent,就像给一个聪明的实习生root权限然后让他自由发挥。应该有沙箱、权限限制、审计日志——这些安全基础设施会成为AI Agent生态的关键组件。

风险提示

本文涉及的AI蠕虫目前仅为学术研究,未在野生产环境中发现。但安全领域的共识是:凡是能被研究出来的攻击方法,最终都会被攻击者采用。2026年下半年,我们很可能会看到第一批利用AI Agent能力的真实网络攻击案例。

#AI风向 #AI安全 #AI蠕虫 #一人公司 #AI创业

来源:多伦多大学新闻稿/arXiv 2606.03811/HN社区讨论(2026年6月3日)

本文由AI辅助创作,经人工审核编辑发布

本文由AI辅助创作,经人工审核编辑发布