当大模型厂商将安全防线构筑在提示词过滤与行为监控之上时，攻击者已经找到了更隐秘的路径。一份覆盖2025年3月至2026年3月、分析832个被封禁恶意账户的报告，给出了AI安全领域迄今最详实的威胁演化图谱。Anthropic团队将这832个案例映射至MITRE ATT&CK框架后发现，使用AI编写恶意软件的账户占比高达67.3%，而这仅仅是冰山一角。

攻击形态正在从“快速突破”转向“深度潜伏”。报告指出，6.5%的恶意账户利用AI进行横向移动——这一比例虽然不高，却代表着AI武器化的关键跃迁。过去，AI在攻击链中的典型角色是生成初始访问载荷（如钓鱼邮件、恶意文档），但如今，攻击者开始将AI嵌入后续的内网扩散过程。更令人警惕的是，在六个月的时间跨度内，被归类为中高风险级别的攻击者比例从33%陡增至56%，几乎翻倍。这意味着AI不仅降低了攻击门槛，更催化了攻击者的“规模化升级”。

一个值得注意的转移发生在社会工程学领域。AI辅助钓鱼的比例反而下降了8.6%，而AI用于账户发现的用例增长了8.9%。这种结构性变化背后是攻击策略的成熟：单纯依靠钓鱼邮件诱骗点击已不够高效，攻击者转而利用AI自动侦察目标组织的人员结构与权限分布，再精准实施后续欺诈。AI的角色从“生成诱饵”演化为“绘制地图”，这使得传统基于邮件网关或URL分析的检测手段加速失效。

更严峻的挑战在于评估体系本身。研究团队发现，传统的威胁评估方法——例如统计某个账户使用了多少种攻击技术，或者判断攻击是通过Claude Code、API还是聊天界面发起——已经无法准确衡量风险。攻击者越来越多地采用多步骤的智能体协作模式：一个AI实例负责侦察，另一个负责生成定制化载荷，第三个负责控制信道。这种编排行为在MITRE ATT&CK框架中缺乏对应的战术节点，导致安全团队无法将自动化攻击链映射到已知的防御策略之上。

Anthropic的报告实际上揭示了一个结构性断层：当AI攻击从单点工具进化为一整套“数字雇佣兵”系统时，安全行业赖以生存的框架（如ATT&CK）尚未完成对智能体协作的抽象定义。业界需要从两个方向发力：一是建立针对AI驱动攻击链的新分类学，例如将“多智能体编排”作为独立的战术类别；二是在防御端同步引入AI自动化响应机制，以对抗非人类的攻击节奏。否则，当56%的攻击者都跨入中高风险级别时，现有人工审计和规则引擎将彻底沦为摆设。

对于安全从业者而言，这份报告提供了一个亟需的预警：下一波威胁不会以更花哨的漏洞或更隐蔽的后门形态出现，而是以“系统性的AI辅助潜伏”为特征。关注横向移动的AI化、账户发现的自动化，以及智能体编排行为的新型检测，应成为2025年安全建设的优先事项。与其追问AI是否在制造更聪明的病毒，不如先回答：我们的对抗框架，什么时候才能跑在AI攻击的前面？