研究 | AI技术对关键信息基础设施安全的影响与挑战

作者系中国信息安全测评中心研究人员

当前，人工智能（AI）正以惊人的速度与深度融入能源、金融、交通等关键信息基础设施（CII）运行体系，成为支撑调度优化、风险预测、运维管理和智能决策的关键技术底座。与此同时，人工智能也深刻改变了CII的资产结构、威胁形态和安全脆弱点。特别是随着模型、数据和智能体成为关键运行要素，以网络和系统为中心的传统安全防护与治理体系逐渐暴露出适配不足的问题。如何在风险加剧的背景下把握治理机遇，推动CII安全治理体系系统性升级，已成为智能时代亟须回应的现实课题。

一、人工智能重塑CII关键信息资产结构

过去，CII安全治理主要围绕网络、主机、应用系统及结构化数据展开，强调可用性、完整性与保密性。随着大模型和智能体参与调度、预测、控制和决策环节，数据、模型、算法参数及智能接口逐步上升为直接影响系统行为的核心资产，资产结构由“系统中心型”向“模型中心型”转变。

一是数据资产地位显著上升。训练数据、实时运行数据与反馈数据共同塑造模型能力边界，其真实性、完整性与时效性直接决定决策质量。数据资产由支撑性资源转变为基础性控制要素。数据一旦被污染或偏移，风险将通过模型泛化过程被持续放大。

二是模型本体成为高度集中的高价值资产。模型参数与权重凝结了算法能力和行业知识，具有投入成本高、替代难度大、影响范围广等特征。基座模型往往支撑多个业务系统，一旦失控或遭受篡改、窃取，可能同步冲击多项核心业务，呈现明显的系统外溢效应。

三是接口与智能体权限成为新的风险通道。应用程序编程接口（API）调用、自动执行接口及跨系统数据流动，使模型输出可直接作用于业务流程甚至物理设备。接口安全已从技术问题演变为运行安全问题。

此外，“影子AI”现象加剧资产管理复杂性。未经备案的模型调用、个人账号接入外部智能服务等行为，降低了资产可视性与可控性，已成为CII最危险、最普遍、难管控的现实问题。美国IBM公司发布的《2025年数据泄露成本报告》显示，65%的“影子AI”导致个人身份信息泄露，40%的“影子AI”造成公司内部知识产权失窃。在2026年“养龙虾”（OpenClaw）热潮中，部分员工为提高工作效率，擅自使用OpenClaw类智能体框架，加速CII“影子AI”蔓延。未经审查的人工智能产品隐蔽使用，已在CII内部形成大量监管盲点。

二、人工智能驱动威胁形态系统性演变

与以网络入侵、恶意代码传播和拒绝服务攻击为主的传统威胁形态不同，攻击者开始将人工智能本身作为攻击工具，围绕数据、模型和决策链实施更具有针对性和持续性的攻击活动，威胁重心由破坏系统可用性、完整性和保密性，逐步转向操控智能系统行为和运行结果。

一是“智能黑客”加剧网络安全威胁。当前，人工智能技术深度赋能网络攻防对抗，由此催生的“智能黑客”成为核心网络攻击力量，显著提高了攻击活动的规模、速度、精准度和隐蔽性。相较于传统黑客，“智能黑客”呈现出以下几个鲜明特点。首先，自主性强。AI智能体可独立规划攻击路径、识别漏洞、生成恶意代码并执行入侵，全程高度自动化，人为参与极低。其次，效率极高。可同时对海量目标发动攻击，且24小时不间断运行，将过去需要数周完成的渗透任务压缩至数小时甚至更短，攻击节奏远超传统黑客。第三，门槛大幅降低。借助大语言模型，即便缺乏深厚技术背景的攻击者也能通过提示词操控AI完成复杂攻击，网络犯罪的专业壁垒被大幅降低。第四，高度隐蔽与自适应。智能黑客能够动态调整攻击策略以规避检测，攻击行为往往被拆解为多个看似合规的子任务，难以被传统规则引擎识别和拦截。第五，个性化精准打击。结合目标的公开信息与行为数据，AI可生成极具针对性的钓鱼邮件、社会工程学话术等，欺骗成功率显著高于传统批量攻击。第六，工具黑产化。FraudGPT等专为攻击定制的恶意AI工具已在暗网流通，形成完整的犯罪服务链条，使智能攻击能力向更广泛的犯罪群体快速扩散。这些特点的叠加效应，致使CII所面临的安全威胁愈发复杂难防。

二是威胁目标转向“操纵决策”。2024年，某科技公司披露，一名实习人员因对公司心怀不满，在参与模型训练流程时向训练管道中插入隐蔽的恶意逻辑，导致模型在关键评估指标上系统性偏移。该模型并未出现明显报错，但在后续业务测试中持续给出异常判断，直至多轮回溯分析后才定位问题根源。该事件表明，针对模型的攻击不再追求即时破坏，而是通过“悄然改变模型行为”实现长期影响，使系统在“表面正常运行”的状态下持续输出错误决策。在CII场景中，类似攻击一旦发生于调度、预警或安全评估模型，将可能在较长时间内累积风险而不被察觉。

三是攻击谱系覆盖全生命周期。在模型训练阶段，以BadNets、Sleeper Agent等为代表的后门与投毒工具，能够让攻击者在特定条件下激活后门，使模型在关键决策节点输出错误判断。在模型推理阶段，围绕模型交互接口的攻击工具迅速成熟，提示注入攻击（Prompt Injection）、越狱攻击（Jailbreak Prompt）自动生成工具、文本对抗攻击（TextFooler）、自动可解释性攻击（AutoDAN）等，可实现对模型安全对齐机制的系统性绕过。此类工具可直接干扰CII场景中的调度决策、风险评估和辅助指挥，属于典型的“智能失效型攻击”。在模型供应链层面，针对模型分发与依赖链的攻击工具呈现出体系化发展态势。例如，利用恶意权重替换脚本、模型仓库投毒工具，攻击者可在Hugging Face、GitHub、ClawHub等模型、代码和技能生态中植入被篡改组件。一次成功的供应链攻击即可跨组织、跨系统扩散，放大为系统性风险。在智能体行为层面，随着AutoGPT、LangChain等框架推动智能体落地，攻击工具也开始聚焦对智能体“决策闭环”的操控。通过记忆污染工具、任务规划诱导脚本，攻击者可持续影响智能体的长期行为轨迹，使其在看似自主运行的状态下逐步偏离设计目标，对CII的危害已从信息层延伸至业务流程乃至物理系统控制层。

四是威胁扩散路径跨层级传导。由于模型和数据通常被多业务、多场景复用，一次针对基座大模型等核心智能资产的攻击，可能同时影响多个系统模块和运行环节，甚至通过自动化决策链传导至物理控制层，放大安全事件的实际影响范围。此外，智能攻击往往不以“异常流量”或“系统崩溃”等传统信号呈现，增加了风险识别、溯源和定责难度。

三、人工智能引入新的系统性安全脆弱点

与可通过补丁修复、配置加固消除的传统漏洞不同，人工智能相关脆弱点更多源于模型机理、数据依赖、供应链和系统运行方式本身，具有难以完全消除和难以精确定位的特点。

一是模型不可解释性削弱风险感知能力。当前，主流大模型和复杂算法在决策过程中呈现出“黑箱化”特征，模型内部推理路径难以被直观理解和验证，一旦模型输出偏离预期，往往难以及时判断是数据异常、模型失效还是恶意操控所致。这种可解释性缺失削弱了对智能系统运行状态的感知能力，使潜在风险更易长期潜伏并被忽视。例如，某律师使用ChatGPT撰写法律文件，模型“幻觉”出了多个完全不存在的法庭案例，律师无法通过查看模型内部逻辑来验证这些案例的真实性，仅仅依赖模型的输出，最终导致律师面临严厉的法律制裁。

二是数据依赖成为最基础且隐蔽的脆弱点。人工智能系统对数据高度依赖，训练数据和实时输入数据的质量直接影响模型行为，但数据