“防患于未然,未雨绸缪。”
——《左传·哀公二十五年》
在信息化、数据化、具身智能化深度融合的今天,企业的每一次技术升级、每一次业务创新,都可能悄然打开一扇通向攻击者的后门。2026 年 2 月,谷歌威胁情报团队(GTIG)披露的《State‑Backed Hackers Using Gemini AI for Recon and Attack Support》报告,像一枚警示弹,敲响了全行业的安全警钟。下面,我们先通过头脑风暴的方式,构想并展开三个典型且富有深刻教育意义的案例,帮助大家在故事中看到真实的风险、感受到危机的紧迫,进而自觉投身即将开启的信息安全意识培训。
案例一:北韩“UNC2970”借 Gemini 进行精准 OSINT 与钓鱼“伪装”
场景再现
- 时间:2025 年 11 月
- 目标:某国内大型防务企业的高级硬件研发部门,涉及机密的火控系统设计。
- 攻击者:代号 UNC2970 的北韩国家支持的威胁组织,常被归并至“Lazarus Group”“Hidden Cobra”等标签。
- 工具:Google Gemini(生成式 AI)配合自研脚本,进行大规模公开信息收集(OSINT)并自动生成定制化钓鱼邮件。
攻击链细节
- 情报收集:攻击者在 Gemini 界面输入类似 “查找国内防务公司高管的 LinkedIn 个人信息、薪酬范围、技术栈” 的自然语言 prompt。Gemini 通过爬取公开网页、招聘平台、GitHub 代码仓库等,快速生成一份结构化的目标画像。
- 画像加工:利用 Gemini 生成的职业背景描述,攻击者进一步让模型写出“招聘专员”自洽的邮件正文,伪装成企业内部 HR,提供“内部职位调动”机会。
- 钓鱼投递:通过自建的邮件发送平台,批量发送含有恶意链接的邮件。链接指向已植入 CVE‑2025‑8088(WinRAR 漏洞)的下载页,一旦目标点击,即触发下载并执行文件。
- 后期持久化:下载的 payload 通过 HONESTCUE 框架的二次阶段代码(由 Gemini 再次调用 API 生成 C# 代码)在内存中编译执行,完成持久化植入。
教训与启示
- AI 生成 OSINT 正在从“工具”转向“同僚”。 过去,安全团队需要手动编写脚本、使用商业情报平台才能完成信息收集;而现在,只要会一次性精准的自然语言描述,就能让生成式模型完成高速、深度的情报汇总。
- 钓鱼邮件的“人格化”程度空前——攻击者不再是粗糙的“银行账户验证”或“系统更新”,而是具有人格、职位、行业语言的“专属邮件”。
- 文件无痕执行:HONSTCUE 利用 .NET 的
CSharpCodeProvider在内存直接编译并运行,使传统基于磁盘的防病毒检测失效。
警示:企业在招聘、内部调动、项目合作等流程中,务必对邮件来源、链接安全性进行双重验证;使用多因素认证(MFA)并对异常登录行为实施实时监控。
案例二:HONESTCUE——“AI 代码即服务”式的文件无痕下载器
场景再现
- 时间:2025 年 8 月
- 目标:某金融机构的内部后台管理系统,主要负责客户账户信息的查询与批量转账。
- 攻击者:同样为 UNC2970,但这次通过恶意软件即服务(Malware‑as‑a‑Service)模式对外推广。
- 工具:Google Gemini API、C# 代码生成、.NET Runtime。
攻击链细节
- 感染入口:攻击者在公开的 WordPress 插件市场投放了一个看似合法的“安全审计”插件。用户在安装后触发插件内部的隐蔽脚本。
- API 调用:脚本向 Gemini 的 API 发送 prompt:“请用 C# 编写一个可在 Windows 环境中下载并执行远程 URL
http://evil.example.com/payload.bin的代码”。Gemini 返还完整的 C# 源码。 - 内存编译:恶意脚本使用
CSharpCodeProvider将返回的源码直接编译成 DLL,加载进进程内存,无需写入磁盘。 - 二阶段载荷:下载的
payload.bin本身是一个加密的 PowerShell 脚本,解密后启动 PowerShell Empire,对内网进行横向移动,最终窃取数千笔转账记录。 - 自我更新:每隔 48 小时,脚本会再次向 Gemini 发送新的 prompt,获取“最新的绕过 AV 新技术”,实现自动进化。
教训与启示
- AI 代码生成的“即点即用”特性,让攻击者可以在几秒钟内生成满足特定绕过检测需求的代码片段。相比传统的“手工写代码、编译、测试”,时间成本从数天压缩到数秒。
- 无磁盘特征的隐蔽性:传统的端点防御往往依赖文件哈希、行为监控等磁盘层面的特征;而在内存直接执行的场景下,检测难度大幅上升。
- “恶意即服务”模式的兴起:攻击者只需要提供 API 调用文档,买家即可自行生成针对性 payload,实现“买即用、即付即得”。
防御建议:
1. 严格审查所有第三方插件、库的来源与签名;
2. 对内部服务器开启 PowerShell Constrained Language Mode,限制脚本执行能力;
3. 部署基于 行为异常(Behavioral Anomaly Detection) 的 EDR 系统,捕获异常的内存编译、网络请求等行为链。
案例三:模型抽取攻击——“千问一答”让 Gemini 失色
场景再现
- 时间:2025 年 12 月
- 目标:某大型教育科技公司(EduTech)在内部使用 Gemini API 为教学机器人提供自然语言答疑服务。
- 攻击者:代号 UNC5356 的金融动机黑客组织,专注于“模型盗版”。
- 工具:自研的 Prompt‑Flood 脚本、GPU 计算资源、开源机器学习框架。
攻击链细节
- 收集 Prompt:攻击者编写脚本,自动化向目标 Gemini API 发送 100,000 条不同语言、不同领域的查询,包括数学、编程、法律、医学等。
- 记录响应:每一次请求返回的文本、JSON 结构、甚至调度的 token 计数,都被完整保存。
- 构建补全数据集:攻击者将收集到的 Prompt‑Response 对 视作监督学习样本,使用 LoRA(Low‑Rank Adaptation) 技术对开源的 LLaMA‑2 进行微调。仅需 20 小时的 GPU 计算,即可训练出一个在相同任务上 80.1% 准确率的“克隆模型”。
- 盗版发布:将克隆模型包装成云服务,以低价向竞争对手或不法分子出售,形成知识产权的二次流失。
教训与启示
- 模型即资产,行为即泄密。 只要攻击者能够获得足够多的 query‑response 对,即可通过行为模仿复现模型功能,突破传统的“模型权重保密”防护。
- 非英语环境的盲区:报告中特别指出,攻击者针对 非英语(如中文、阿拉伯语)的大量提示进行查询,导致模型在这些语言的能力被快速复制。
- “模型即服务” 的安全治理需要从 API 调用层、计费层、使用审计 多维度入手,单纯的身份验证已不足以防止滥用。
防御建议:
1. 对外部 API 实施调用频率、语义范围的限制,并使用 内容过滤(如 Prompt Guard)阻止敏感查询;
2. 对重要模型使用 水印(Watermark)技术,在返回文本中嵌入不可见的概率特征,以便事后溯源;
3. 建立 使用日志与审计 自动化平台,实时检测异常的大规模查询行为。
综述:从“AI 侦察”到“模型抽取”,我们正身处一个 数据化‑信息化‑具身智能化 融合的全新安全边界
1. 数据化——信息的价值被指数级放大
在大数据时代,数据本身即是资产。每一次业务决策、每一次客户交互,都产生结构化或非结构化数据。AI 模型如 Gemini、ChatGPT、Claude 等,正以惊人的速度将这些海量数据转化为可操作的情报。正因为如此,信息泄露的成本从“单一记录被窃”跃升为“全局情报被复制”。
“取之于民,用之于民”,但若“取”失控,后果必然不堪设想。
2. 信息化——技术的深度渗透
企业内部的 协同平台、自动化运维、AI 助手 已成为日常必备。AI 的普适性让每一个业务单元都能通过 Prompt 调用云端模型完成报告生成、代码调试、风险评估等工作。然而,同一把钥匙,若落入不法分子之手,便能打开渗透防线、生成恶意代码,甚至复制模型。
“道虽迩而不文,行百里者半九十”。技术引进的每一步,都应同步审视其安全边界。
3. 具身智能化——AI 与硬件的深度融合
随着 边缘计算、IoT、嵌入式 AI(如具身机器人、智能摄像头)逐渐普及,AI 不再仅是云端服务,而是直接嵌入到设备的固件层。攻击者利用 AI 生成的代码,可以在 固件更新、驱动程序中植入后门,实现持久性的硬件层渗透,这是一种跨层次的威胁。
“兵者,诡道也”。当攻击手段与防御手段同步进化,唯一不变的就是防御的主动性。
为什么你必须参与信息安全意识培训?
-
人人是第一道防线
在过去的案例中,钓鱼邮件、社交工程依赖的正是职工的“疏忽”。当 AI 能自动生成高度仿真的社会工程材料时,人类的判断力成为唯一可靠的“异常检测”。 -
提升 AI 时代的安全思维
培训不仅教授传统的密码学、网络防御,更会讲解 Prompt 安全、模型滥用、AI 代码生成的风险。让每位员工在使用 Gemini、ChatGPT 等工具时,能够辨别“安全 Prompt”和“危险 Prompt”。 -
构建企业的“安全文化”
安全不只是技术,更是组织行为。通过培训,大家能够在日常沟通、文档编写、代码审查等环节自觉落实 最小特权原则、审计日志、双因素认证等最佳实践。 -
防止“内部泄密”与“外部渗透”双线作战
案例显示,攻击者往往先渗透内部,再借助 AI 扩散攻击。因此,提升内部安全意识是阻止攻击链升级的根本手段。 -
把握“安全合规”红线
随着《网络安全法》《数据安全法》《个人信息保护法》等法规的落地,企业必须在 数据治理、模型使用合规 上做到有据可依、可审计。培训帮助员工快速了解合规要求,避免因“合规盲区”导致的法律风险。
培训计划概览(即将开启)
| 时间 | 主题 | 主要内容 | 讲师/专家 |
|---|---|---|---|
| 第1周 | AI Prompt 安全基础 | Prompt 编写规范、危险关键词辨识、案例剖析 | 谢晓宁(Google AI安全实验室) |
| 第2周 | 生成式 AI 与社交工程 | AI 生成钓鱼邮件、伪装招聘、对抗技巧 | 李海峰(国内顶尖红队) |
| 第3周 | 无文件恶意代码与内存攻击 | HONESTCUE 机制、内存编译防御、EDR 配置 | 陈宇(微软安全研发部) |
| 第4周 | 模型抽取防护与水印技术 | 何为模型抽取、检测方法、图像/文本水印 | 姚倩(清华大学网络安全实验室) |
| 第5周 | 合规与数据治理 | 《个人信息保护法》要点、模型使用合规、审计日志 | 王磊(北京律所网络安全合规部) |
| 第6周 | 综合演练 | 案例复盘、实战红蓝对抗、即时应急响应 | 多位行业专家联合演练 |
报名方式:请通过公司内部邮件系统回复“信息安全意识培训”,或扫描内部门户的 QR 码直接登记。培训期间,每位参加者将获得 《AI 安全操作手册(2026) 电子版、安全徽章(电子徽章)以及 公司内部安全积分(可兑换培训资源、技术书籍等)。
提醒:本轮培训名额有限,先报名先得。我们期待每一位同事都能在 AI 时代成为“安全的先锋”,让企业的数字化转型在安全的护盾下翱翔。
行动呼吁:从今天起,让安全思考成为你的第二本能
- 每天一次:在使用 ChatGPT、Gemini、Claude 等工具时,先思考“这是否会泄露业务机密?”。
- 每周一次:抽空阅读一次安全博客、行业报告或内部安全简报,让自己保持对最新攻击手法的敏感度。
- 每月一次:参加一次内部安全讨论或线上培训,分享自己的安全经验与发现。
“磐石不移,根基在于固若金汤。” 让我们一起把安全根基筑得更稳,让企业的每一次创新,都在安全的护航下无畏前行。
安全不是一种技术手段,而是一种组织文化。 当每位职工都把“安全”当作工作的一部分,当每一次鼠标点击、每一次 Prompt 输入,都伴随安全的思考,那么无论是 AI 生成的钓鱼邮件,还是模型抽取的威胁,都将被我们提前识别、及时阻断。
让我们从现在开始,用知识点亮安全,用行动构筑防线!
信息安全意识培训,期待与你相约!
AI安全 防护 训练
信息安全 觉悟 防御
昆明亭长朗然科技有限公司深知企业间谍活动带来的风险,因此推出了一系列保密培训课程。这些课程旨在教育员工如何避免泄露机密信息,并加强企业内部安全文化建设。感兴趣的客户可以联系我们,共同制定保密策略。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898
